Bond na emeryturę

Miniaturyzacja urządzeń cyfrowych stwarza nowy, nieznany dotąd rodzaj zagrożenia. Narzędzia uznawane do niedawna za gadżety pozbawione istotniejszego znaczenia mogą w poważny sposób zagrozić bezpieczeństwu firm czy instytucji.

Miniaturyzacja urządzeń cyfrowych stwarza nowy, nieznany dotąd rodzaj zagrożenia. Narzędzia uznawane do niedawna za gadżety pozbawione istotniejszego znaczenia mogą w poważny sposób zagrozić bezpieczeństwu firm czy instytucji.

Nie potrzeba już wymyślnych urządzeń szpiegowskich rodem z Jamesa Bonda, aby wykraść z firmy projekt nowego produktu, wejść w posiadanie informacji z niedostępnych poza instytucją baz danych czy odtworzyć strukturę prototypowej linii technologicznej albo poznać tajemnice negocjacji handlowych. Zamiast zmyślnego, specjalnie skonstruowanego zegarka czy spinki do krawata, wystarczy zwykły telefon komórkowy z wbudowanym aparatem fotograficznym i modułem do nagrywania dźwięku. Często można go kupić bez problemu w sklepie na parterze budynku, w którym mieści się firma będąca obiektem zainteresowania konkurencji czy płatnego szpiega przemysłowego. Niepowetowane straty może przynieść firmie również możliwość niekontrolowanego, swobodnego posługiwania się tymi urządzeniami przez pracowników.

Zagrożone mogą być nie tylko tajemnice handlowe, ale też naruszona prywatność zatrudnionych osób.

Dysponując "komórką" z cyfrową kamerą i dyktafonem, można sfotografować znajdujące się w biurze dokumenty, utrwalić obraz wyświetlany na ekranie komputera, nagrać prowadzone podczas wizyty rozmowy. Ponadto można od razu przesłać to wszystko w umówione miejsce. Gdy się jeszcze dysponuje coraz popularniejszym typu PenDrive, można spróbować wykorzystać zamieszanie w firmie lub nieuwagę pracowników do zgrania z pozostawionego bez opieki komputera kilkuset megabajtów interesujących danych. Transmisja danych po łączu USB trwa przecież tak krótko w porównaniu z posługiwaniem się dawnymi mediami, takimi jak dyskietki.

Zdaniem analityków firmy Gartner w 2006 r. ponad 80% telefonów sprzedawanych w Stanach Zjednoczonych i Unii Europejskiej będzie umożliwiało rejestrację obrazu. Taka sytuacja może sprzyjać nowym formom szpiegostwa czy kradzieży informacji, tym bardziej że wbudowane w telefony kamery będą coraz doskonalsze technicznie. Już dzisiaj można kupić taki aparat z rozdzielczością 2 megapikseli, a stworzenie możliwości nagrywania tysiąca fotografii jest tylko kwestią czasu i to nieodległego.

Kto zapomniał zabrać telefon

W wydanym niedawno raporcie How to Deal With Camera Phones in the Workplace konsultanci Gartnera przestrzegają przed zwiększonym ryzykiem naruszenia systemów zabezpieczeń i ochrony w przedsiębiorstwach za sprawą coraz większej dostępności tzw. urządzeń konsumenckich z dziedziny wysokich technologii. Nawołują menedżerów do przygotowania się już dzisiaj na ten rodzaj coraz bardziej realnego, a mało jeszcze uświadomionego i rozpoznanego zagrożenia.

Wydaje się, że specjaliści odpowiedzialni za bezpieczeństwo w firmach zdają sobie sprawę z tego typu zjawisk. Problem polega na tym, że nie wiedzą jeszcze dobrze, jak można by im skutecznie przeciwdziałać. O ile już dobrze znane są sposoby ochrony systemów komputerowych w firmach, o tyle w przypadku możliwości nieuprawnionego wykorzystania nowych urządzeń elektronicznych jest jeszcze wiele pytań i niejasności. Wiele związanych z tym sytuacji ma jeszcze charakter hipotetyczny. Sytuacja niepewności i braku jednoznacznych rozstrzygnięć powoduje, że wielu tzw. oficerów bezpieczeństwa w firmach nie chce się na razie na ten temat wypowiadać. Z drugiej strony, znane są przypadki niby przypadkowego pozostawiania włączonych telefonów komórkowych w miejscach, gdzie miały się toczyć ważne negocjacje handlowe lub zestawiania połączeń z telefonów posiadanych przez uczestników zamkniętych spotkań biznesowych.

Menedżerowie bezpieczeństwa w polskich firmach zgadzają się generalnie z analitykami Gartnera, że nie ma sensu wprowadzanie całkowitego zakazu używania telefonów komórkowych z i innych tego typu urządzeń na terenie przedsiębiorstwa. Zakaz taki byłby trudny do wyegzekwowania, a skutki jego obowiązywania mogłyby mieć również negatywny charakter. Czy skrupulatne rewidowanie każdego gościa przychodzącego na spotkanie z zarządem firmy dobrze by służyło jej zewnętrznemu wizerunkowi i przyczyniało się do budowania zaufania wśród partnerów, kontrahentów czy współpracowników? Poza tym jaka byłaby gwarancja 100-proc. wykrycia niebezpiecznego narzędzia w sytuacji, gdy postępująca miniaturyzacja może umożliwiać zainstalowanie kamery w różnych przedmiotach? Już dzisiaj można przecież kupić np. długopisy z wbudowanym aparatem cyfrowym. Na razie uzyskiwany z nich obraz jest słabej jakości, ale kto wie, co będzie za kilka miesięcy.

Trzeba się też liczyć z kosztami egzekwowania nowych obostrzeń i zakazów. Można by myśleć o technicznych zabezpieczeniach uniemożliwiających nawiązywanie połączeń z telefonów komórkowych w określonych miejscach w firmie lub reagujących na próby wykonania zdjęcia. Można myśleć o bramkach wykrywających wnoszone aparaty na wzór bramek reagujących na przedmioty metalowe. Często są to jednak bardzo kosztowne rozwiązania. Nie wszystkie firmy byłoby na nie stać, poza tym nie wiadomo jeszcze jaka byłaby relacja poniesionych wydatków do skuteczności zainstalowanych urządzeń.

Wcale niebanalne jest w tej sytuacji pytanie, na ile racjonalne jest w istniejących warunkach inwestowanie w rozbudowane systemy ochrony i bezpieczeństwa? Nie wiadomo gdzie powinna leżeć granica takich inwestycji w sytuacji, w której w zakresie miniaturyzacji elektronicznych urządzeń powszechnego użytku nie powiedziano jeszcze ostatniego słowa. Trudno przewidzieć, jakiego rodzaju niebezpieczeństwa mogą grozić firmom w najbliższym czasie w związku z rozwojem zastosowań tzw. inteligentnych rozwiązań w sprzęcie codziennego użytku. Zarówno podłączona do Internetu do bieżącej aktualizacji zapasów tzw. inteligentna lada chłodnicza w sklepie na stacji może być obiektem ataku hakerskiego lub wrogich działań ze strony konkurencji, jak i palmtop zbierającego zamówienia handlowca.

Proszę mi nie robić zdjęcia

Co więc trzeba zrobić, by uchronić się przed ewentualnymi szkodami wynikającymi z nowych zagrożeń? Generalnie jest to jeszcze obszar do zagospodarowania. Trzeba dopiero wypracować skuteczne, adekwatne do sytuacji metody działania. Zarówno konsultanci Gartnera, jak i specjaliści odpowiedzialni za bezpieczeństwo w firmach są zdania, że w głównej mierze trzeba szukać możliwości oddziaływania poprzez kulturę organizacyjną firmy. Najważniejsze jest kształtowanie odpowiednich postaw wśród pracowników, uczulanie ich, by zwracali uwagę na sytuacje i zachowania, które mogą stać się potencjalną przyczyną zagrożeń. Każdy musi szukać skutecznych rozwiązań we własnym zakresie, gdyż ogólne regulacje prawne w tej dziedzinie byłyby mało skuteczne i trudne do wyegzekwowania.

Należy przede wszystkim dokonać starannego przeglądu posiadanych zasobów informacyjnych i sklasyfikować je pod względem ważności, sposobu dostępu i rozpowszechniania. Trzeba dokładnie określić, jakie informacje są tajne, jakie poufne, jakie ogólnie dostępne, kto do jakich może mieć dostęp i na jakich zasadach może je przekazywać w inne miejsca.

To pozwoli zarówno na wypracowanie lepszych, skuteczniejszych metod ochrony, jak i da większą orientację pracownikom, na co powinni zwracać uwagę. Mając taką wiedzę, można próbować wprowadzać zakazy czy ograniczenia w wydzielonych strefach lub obszarach w firmie. Pracownicy muszą jednak wtedy zostać dokładnie i precyzyjnie powiadomieni, czego wolno im używać w danym miejscu, a czego nie. Pewnym wyjściem z sytuacji może być np. wyposażenie pracowników w jednakowe, standardowe modele telefonów czy palmtopów. Wtedy wiadomo, jakie są ich możliwości, funkcje czy parametry techniczne, co daje większe możliwości kontroli nad ich wykorzystaniem.

Wszyscy zgodnie podkreślają, że najważniejsza jest jednak w tej sytuacji świadoma, odpowiedzialna postawa ludzi - pracowników i użytkowników nowoczesnych urządzeń. Wiadomo że człowiek jest najsłabszym, najbardziej nieprzewidywalnym ogniwem wszelkich systemów bezpieczeństwa. Ale też i w samym człowieku jest dzisiaj największa nadzieja. Gwałtowny rozwój zastosowań technologii cyfrowej, wykorzystywanie tzw. inteligentnych rozwiązań w najróżniejszych miejscach i rzeczach powszechnego użytku ograniczają lub czynią nieopłacalnymi stosowanie automatycznych, technicznych systemów kontroli i zabezpieczeń. W coraz większym zakresie ludzie będą musieli bronić się przed nowymi zagrożeniami poprzez odpowiednie formy zachowań - czy to indywidualnych, czy społecznych. Stawia to nowe wymagania i zadania przed specjalistami od bezpieczeństwa w firmach. Nie wystarczy zainstalować firewall, wgrać program antywirusowy czy zablokować dostęp do niektórych rekordów w bazie danych. Trzeba będzie więcej pracować z ludźmi, uczulać ich na grożące niebezpieczeństwa, uczyć odpowiednich sposobów zachowania, wskazywać sytuacje potencjalnie najbardziej ryzykowne. Nic nie zastąpi systematycznej edukacji i informowania. Czasami konieczne będzie wypracowanie pewnych nawyków automatycznych reakcji - żeby nie dać się zwieść miłej propozycji zrobienia nam zdjęcia przy komputerze, na którego ekranie akurat są wyświetlane strategiczne dla firmy informacje.

Nieświadomość pracowników może często stanowić największe zagrożenie dla firmy. Błyskawiczny rozwój technik cyfrowych powoduje, iż na rynku pojawia się wiele urządzeń, których wszystkich funkcji i możliwości nie jesteśmy w stanie poznać. Co więcej, często korzystamy z nowoczesnych urządzeń, o których również nie posiadamy pełnej wiedzy. Chodzi o to, aby każdy, kto pracuje na strategicznym stanowisku, w miejscu, gdzie ma do czynienia z ważnymi informacjami, wiedział, na jakie zagrożenia może być narażony on i jego firma ze strony tych, którzy dysponują sprzętem zaliczanym często potocznie do grupy gadżetów, ale dysponującym możliwościami niedostępnymi jeszcze kilka lat temu dla urządzeń profesjonalnych.

Nic nie widać, nic nie słychać

Włoska firma Endoacustica zaprezentowała zmodyfikowaną wersję telefonu komórkowego Nokia 8310. Aparat nieróżniący się z pozoru niczym od innych może działać w trybie "szpiegowskim". Przypisane są mu dwa numery. Jeśli ktoś zadzwoni pod pierwszy z nich, telefon normalnie zasygnalizuje nadchodzące połączenie i użytkownik będzie mógł je przyjąć. Jeśli jednak zostanie wybrany drugi numer, to nic się nie stanie - telefon nie zadzwoni, nie zostanie uruchomiony alarm wibracyjny, a nawet nie podświetli się ekran. Mimo to połączenie zostanie nawiązane, dzięki czemu dzwoniący będzie mógł bez problemu podsłuchiwać, co dzieje się w pobliżu aparatu.

Sami swoi

Firma Iceberg Systems opracowała technologię Safe Haven (bezpieczne schronienie) pozwalającą na blokowanie połączeń z Internetem za pośrednictwem telefonów komórkowych, palmtopów, PDA i innych urządzeń komunikujących się drogą radiową. Specjalna stacja bazowa, zainstalowana np. w firmie, kontroluje non stop nawiązywane połączenia. Sygnał pochodzący od uprawnionych do korzystania z urządzeń pracowników jest rozpoznawany jako "swój". Gdyby jednak ktoś niepowołany chciał np. wysłać zrobione cyfrowym aparatem zdjęcia poufnych dokumentów, sygnał z jego sprzętu zostanie rozpoznany jako "obcy" i połączenie będzie zablokowane.

Jak dobrze mieć sąsiada

Jeszcze nie tak dawno temu, w obliczu gwałtownego rozwoju Internetu i technik komputerowych przedstawiciele świata kultury i humanistyki snuli czarne scenariusze rozwoju wydarzeń. Alarmowali, że coraz powszechniejsze zastosowanie informatyki doprowadzi do upadku kultury, zniszczy kontakty międzyludzkie, zagrozi typowym dla życia człowieka relacjom społecznym. I rzeczywiście, przez pewien czas wydawało się, że wirtualne społeczności staną się podstawową formą organizacji życia zbiorowego ludzkości. Nic takiego się jednak nie stało.

Dzisiaj można się zastanawiać, czy rosnąca dostępność coraz bardziej skomplikowanych urządzeń cyfrowych, coraz powszechniejsze stosowanie wysoko przetworzonych technologii w urządzeniach codziennego użytku nie doprowadzą w konsekwencji do renesansu kulturowego, wzmocnienia więzi międzyludzkich, przewartościowania i nadania nowej rangi kontaktom społecznym. Gdy stopień komplikacji technologicznej środowiska, w którym przyjdzie nam żyć, będzie już tak duży, że z różnych powodów (ekonomicznych, technologicznych itp.) nie sposób będzie nad nim zapanować nowymi środkami technicznymi, to być może najskuteczniejsze okaże się poleganie na właściwych ludzkich zachowaniach. Być może znowu w cenie okażą się wzajemna ludzka życzliwość, zainteresowanie dla drugiego człowieka, poczucie odpowiedzialności za innych itp.

Gdy nie będzie już w stanie ochronić nas żaden system komputerowy, być może ochroni nas życzliwa uwaga drugiego człowieka - sąsiada, współpracownika, którzy zainteresują się, co się z nami dzieje, i zwrócą nam uwagę, gdy swoim postępowaniem narażamy na niebezpieczeństwo siebie i innych.

Co robić, aby się zabezpieczyć?

  • Ustanowić jasną, przejrzystą politykę bezpieczeństwa w firmie zamiast wprowadzania całkowitych zakazów.
  • Stworzyć wyraźnie oznaczoną strefę bezpieczeństwa, gdzie wszelkie fotografowanie jest zabronione.
  • Zakazać fotografowania rzeczy, które są tajne i poufne.
  • Zabronić utrwalania wizerunku osób w firmie bez ich wyraźnej zgody.
  • Wymagać, by nie robić zdjęć w miejscach, gdzie pracownicy spodziewają się ochrony prywatności.
Źródło: How to Deal With Camera Phones in the Workplace. Gartner 2004


TOP 200