O bezpieczeństwie danych inaczej

Specjaliści przekonują nas, że dzięki technice informacyjnej możemy skuteczniej chronić nasze dane. Trudno jest przekonać się do takich deklaracji, a nawet je zrozumieć.

Specjaliści przekonują nas, że dzięki technice informacyjnej możemy skuteczniej chronić nasze dane. Trudno jest przekonać się do takich deklaracji, a nawet je zrozumieć.

Sam fakt, że gromadzi się więcej danych, już staje się pewnym zagrożeniem dla jednostek, organizacji i społeczeństwa. Ostatnio mieliśmy dwie głośne sprawy związane z przekazaniem prywatnym firmom danych o swoich klientach. PZU przekazało dane firmie CERPO, a PKO Softbankowi. Obydwa dyskutowane przypadki są odmienne. PZU oddało dane, by na nich firma CERPO zarabiała. Softbank otrzymał dane w ramach współpracy, chociaż nie wiadomo po co.

W obydwu przypadkach (jak też w wielu innych) przyczyną zamieszania jest technika informacyjna. Jestem skłonny twierdzić, że nowa technika stwarza wyjątkowe możliwości transferu danych i ich wykorzystania niezgodnie z interesem jednostki. Takie nadużycia dzięki technice informacyjnej stają się wykonalne i opłacalne. Dzieje się tak tam, gdzie nie ma skutecznych zabezpieczeń, czyli rozwiązań prawnych, organizacyjnych (instytucjonalnych) czy technicznych. Takie rozwiązania pozostaną jednak nieskuteczne, jeśli ludzie biorący udział w procesie nie będą rozumieć znaczenia ochrony danych. Jeśli nie zrozumieją takiej potrzeby i swojej roli, technika informacyjna zwiększy zagrożenia. Obecnie świadomość zagrożeń jest nawet mniejsza niż w USA, gdzie komfort jest najważniejszy dla zwykłego konsumenta, a zagrożeniami niemal nikt się nie przejmuje.

W przypadku PZU mamy rzeczywiście do czynienia z wręcz jednoznacznym nadużyciem zaufania klientów, a także z działaniem na szkodę tej firmy. Drugi przypadek jest bardziej złożony. Można dopatrywać się w nim błędu wynikającego z przyjęcia niewłaściwych rozwiązań organizacyjnych projektu. Trzeba brać pod uwagę, że więzi między dostawcą usług informatycznych a klientem będą ulegały zmianom. Coraz częściej dostawca przejmuje całość zasobów informacyjnych od klienta i wykonuje wszystkie prace związane z gromadzeniem naszych danych, ich przechowywaniem, przetwarzaniem i udostępnianiem zgodnie z naszymi wymaganiami. Nazywa się to outsourcingiem. Jak można sądzić, stanie się on z czasem standardową formą rozwiązywania problemów informacyjnych firm i instytucji. Trudno dziś to sobie wyobrazić, jednak jest to nieuniknione.

Czy jesteśmy przygotowani do przejścia na tak zaawansowany poziom? Czy nasze kwalifikacje oraz możliwości techniczne są dostateczne? Czy wreszcie jesteśmy zdolni podejmować ryzyko (świadomie!) związane z przekazaniem/przyjęciem wszystkich danych firmy i ich zasobów informatycznych? Sądzę, że nie. Większość naszych menedżerów w ogóle nie bierze pod uwagę możliwości dopuszczenia kogokolwiek z zewnątrz do poznania tajemnic firmy. Jest to zwykły odruch osoby odpowiedzialnej za kondycję firmy, a zarazem mało obeznanej z możliwościami współczesnej techniki informacyjnej.

Niewiele osób w Polsce zna przykłady największych kontraktów na outsourcing i ich istotę. Kontrakt na outsourcing niemal całej funkcji informacyjnej GD (General Dynamics - suma bilansowa ponad 6 mld USD) dla CSC (Computer Science Corporation - suma bilansowa 1 mld) miał wartość 200 mln. Był to wówczas rekordowy kontrakt, który przyniósł ogromne korzyści obydwu firmom i zatrudnionym pracownikom. Nie sądzę, żeby u nas jakaś firma taki kontrakt w ogóle brała pod uwagę. A przecież od setek lat listy wysyłamy pocztą, a nie umyślnym, poczcie powierzając nasze tajemnice. Ponadto wciąż uważamy, że taniej jest coś zrobić samemu niż kupić od wyspecjalizowanej firmy. Taka niewiedza, niechęć do liczenia, a także nieufność nie pozwoli nam obniżyć kosztów systemów informacyjnych do poziomu zapewniającego przewagę konkurencyjną.


TOP 200