Bezcenne informacje

Rozmowa z Krzysztofem Janem Jakubskim, kierownikiem Zespołu Ochrony Informacji oraz Systemów Teleinformatycznych w Banku Polskiej Spółdzielczości SA.

Rozmowa z Krzysztofem Janem Jakubskim, kierownikiem Zespołu Ochrony Informacji oraz Systemów Teleinformatycznych w Banku Polskiej Spółdzielczości SA.

Czy wyciekanie informacji o charakterze poufnym to problem realny, czy też raczej propaganda dostawców rozwiązań informatycznych?

Bezcenne informacje

Krzysztof Jan Jakubski, kierownik Zespołu Ochrony Informacji oraz Systemów Teleinformatycznych w Banku Polskiej Spółdzielczości SA

Trzeba wyraźnie stwierdzić, że w powszechnym rozumieniu informacja nie jest w Polsce traktowana jako towar. Ponieważ informacja nie jest wyceniana, mało osób zdaje sobie sprawę z jej faktycznej wartości. Poza tym jesteśmy narodem z natury otwartym i lubimy się chwalić. Zwykle nie zdajemy sobie sprawy z tego, że walka o informacje nie jest czymś nowym, historia dostarcza nam wiele dowodów - Celtowie przejmowali od Rzymian technologie budowy utwardzanych dróg, Persowie wykradli Chińczykom tajemnice wytwarzania jedwabiu, a Marco Polo jest uważany za największego szpiega technologii w historii świata. Ze względu na uwarunkowania historyczne w Polsce działalność tego typu ma pejoratywne znaczenie, mimo że rozwój polskiego przemysłu chemicznego i farmaceutycznego w dużej mierze zawdzięczamy działalności wywiadu gospodarczego.

W dobie gospodarki rynkowej, a więc gospodarki konkurencyjnej, wzrasta zagrożenie walki o informacje wraz ze wszystkimi konsekwencjami tej walki. Rośnie znaczenie danych finansowych i personalnych we wszystkich instytucjach. Szpiegostwo i wywiad gospodarczy, w tym także między państwami będącymi - formalnie - sojusznikami, stanowi istotną - a niektórzy nawet twierdzą, że główną - część działalności wywiadowczej, "zsyłając" na drugi plan wywiad polityczny i militarny.

Należy także pamiętać, że szpiegostwo gospodarcze prowadzą nie tylko państwowe służby specjalne, ale także wywiadownie prywatne, w tym także działające metodami legalnymi. W roku 1986 w Stanach Zjednoczonych powstało pierwsze Stowarzyszenie Profesjonalnych Wywiadowców Gospodarczych (Society of Competitive Intelligence Professional - SCIP). W wielu państwach europejskich, Azji i Australii działają podobne lub współpracujące ze sobą organizacje, np. we Francji Association pour la promotion de l`intelligence ?conomique et concurrentielle - Stowarzyszenie na rzecz promocji wywiadu gospodarczego i konkurencyjnego. Niewiele osób w Polsce pamięta, że w interesach nie ma emocjonalnej przyjaźni, lecz bezwzględna walka, z której zwycięsko wychodzi ten, kto wyprzedzi lub wykorzysta informacje konkurenta.

Czy zjawisko szpiegostwa można w rzetelny sposób mierzyć?

Cała działalność szpiegostwa gospodarczego jest raczej sferą poufną. Nie spotkałem się z badaniami statystycznymi oceniającymi to zagrożenie. Jestem jednak pewny, że skala tego zjawiska wcale nie jest mała. Polska nie stanowi wyjątku.

Jeśli informacje o poufnie prowadzonych negocjacjach handlowych, jeszcze przed ich zakończeniem, stają się sferą całej serii artykułów prasowych ujawniających istotne elementy warunków stawianych przez obie strony, to czy można tu mówić o poufności tych negocjacji? Gdyby były to warunki tylko jednej ze stron - można byłoby domniemywać, że jest to przeciek kontrolowany. Jeśli jednak w tym samym czasie dwie firmy występują z promocją podobnego nowego artykułu na tych samych warunkach, to nie należy tego raczej traktować jako przypadkowego zbiegu okoliczności...

Podobnie będzie, gdy przedstawiciel firmy ubezpieczeniowej przychodzący na wstępne rozmowy od razu stwierdza, że on proponuje warunki lepsze od konkurencji, która w dotychczasowej współpracy oferowała takie to a takie warunki. Podkupowanie pracowników przez firmy działające w tej samej branży nie byłoby niczym nadzwyczajnym, gdyby nie to, że najczęściej z jego podkupieniem przejmuje się firmy, którymi opiekował się w starym miejscu pracy.

A może jest tak, że wyciekanie poufnych informacji jest problemem wyłącznie pewnej grupy firm, np. należących do pewnych branż czy też przedsiębiorstw działających na rynkach bardzo konkurencyjnych.

Tam gdzie jest konkurencyjna walka o rynek, tam też będzie walka o informacje. Oczywiście wielkie firmy mają większe potrzeby informacyjne i większe fundusze na ich pozyskanie i zabezpieczenie. Na pewno najbardziej zagrożone są firmy korzystające z nowych rozwiązań technologicznych oraz firmy, których produkt jest nowy na rynku i nie posiada w tym czasie konkurencji.

Czy przed szpiegostwem można się skutecznie chronić, a jeśli tak, to w jaki sposób?

Oczywiście, że tak. Jako przykład można podać chociażby Polską Wytwórnię Papierów Wartościowych - nie słyszałem, by ujawniono technologię produkcji papierów specjalnych tam produkowanych lub wszystkie zabezpieczenia na dokumentach wychodzących z tej wytwórni. Jest to kwestia tylko odpowiedniego podejścia ze strony kadry zarządzającej, ale i pracowników. To także kwestia zastosowania odpowiednich zabezpieczeń: organizacyjnych, osobowych, technicznych i technologicznych. Do tego potrzebne są oczywiście chęci i środki. Ale trzeba też wiedzieć, że zabezpieczenie informacji to problem złożony i trudny - tego nie można zrobić jednorazowo.

Tworzenie polityki bezpieczeństwa informacji w instytucji wymaga planowego działania oraz konsekwencji. Pierwszym krokiem musi być inwentaryzacja zasobów informacyjnych, ich klasyfikacja według ważności oraz określenie stopnia podatności na zagrożenie. Ważne jest także uświadomienie wartości informacji wszystkim zatrudnionym oraz określenie zasad dostępu do nich. Na podstawie takich kryteriów można opracować plan wdrożenia zabezpieczeń i zbudować je. Dopiero tu jest miejsce na procedury, zasady działania ludzi, a także rozwiązania techniczno-technologiczne.

Jak można szacować koszty takiej operacji? Czy budowa kompleksowego systemu zabezpieczeń przed wyciekiem informacji wpływa istotnie na budżety IT?

Mówi się, że jeśli stworzenie systemu obiegu informacji kosztuje 100 jednostek, to jego zabezpieczenie kosztuje kolejne 150. Łączny więc koszt obiegu dokumentów będzie więc wynosić 250. Niestety, najczęściej kupuje się sprzęt, nie myśląc o jednoczesnym zakupie zabezpieczeń, zakładając, że to zrobi się później - w miarę posiadanych środków. W efekcie zaczyna brakować środków albo brakuje chęci na wdrożenie systemu - podkreślam - "systemu obiegu informacji".

Muszę podkreślić, że zabezpieczenie informacji nie zawsze musi się wiązać z zakupem najnowszych technologii i urządzeń. W wielu przypadkach wystarczy wprowadzenie stosownych procedur oraz uświadomienie pracowników. Osobom, które chciałyby bliżej poznać tą problematykę, polecam wydaną także w Polsce, w 1999 r., książkę B. Martinet i Y.M. Marti Wywiad gospodarczy. Pozyskiwanie i ochrona informacji (wydanie francuskie z 1995 r. - L'intelligence ?conomique - Les yeux et les oreilles de l'entreprise.

Rozmawiał Rafał Jakubowski

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200