#Bezpieczeństwo biznesu

Bezpieczeństwo informacji z perspektywy praktyka

Jacek Grzechowiak


Gdy myślimy o bezpieczeństwie informacji, uwagę skupiamy na systemach informatycznych i zagrożeniach tam ulokowanych. I słusznie – IT jest dziś miejscem o niespotykanej kumulacji zagrożeń. Wraz z rozwojem technologii będzie miało jeszcze większe znaczenie, tym samym liczba i nasilenie zagrożeń także będzie w trendzie wzrostowym. Jednak informacje, także te wrażliwe, a niekiedy nawet krytyczne dla bytu przedsiębiorstwa, też znajdują się poza tymi systemami. Niekiedy są na wyciągnięcie ręki: na kartce, ekranie komputera widocznym dla osoby postronnej, można je także skopiować bez włamywania się do systemu.

Perspektywa 1.
Złodziej przychodzi do nas

Pierwszą reakcją osób, z którymi mam kontakt podczas szkoleń czy dyskusji nt. ochrony informacji, gdy przedstawiam klasyczny przykład insidera, jest zdumienie i komentarz, że przecież szpiegostwo dotyczy struktur państwowych i czasów wojennych. Przytoczę komentarz z jednej z dyskusji w serwisie społecznościowym sprzed miesiąca: Kret to taka stara metoda działania sowieckiego GRU. Ciekawe, że to funkcjonuje też w biznesie. Pewnie starzy towarzysze mogą mieć w tym doświadczenie.
Takie podejście nie jest wyjątkiem. Nie jest też – przynajmniej częściowo – błędne. Powodem jest najczęściej formalna definicja szpiegostwa, skierowana na działalność obcego wywiadu i przekazywanie informacji właśnie jemu. To dość mocne i niesłuszne zawężenie problematyki kradzieży informacji. Nie od dziś też wiadomo, że służby specjalne działają na korzyść biznesu swojego kraju, dlatego trzeba przyjąć, że szpiegostwo, obecne na poziomie państwowym, istnieje także w biznesie, ale już nie tylko w formie oddziaływania struktur państwowych. Co istotne, dotyczy to także osób młodych, nie koncentrujmy się więc na „starych towarzyszach”, oczywiście nie lekceważąc ich, kierując się jedną z refleksji, jaką zawarłem w artykule Różne oblicza bezpieczeństwa wartości pieniężnych.

Ochrona informacji jest od strony formalnoprawnej realizowana przede wszystkim na podstawie kodeksu karnego lub ustawy o zwalczaniu nieuczciwej konkurencji. Praktyczne przykłady obrazujące tę problematykę można znaleźć w wielu publikacjach, przy czym o ile od strony procesowej jest to dość proste z wykorzystaniem otwartych źródeł (np. System Analizy Orzeczeń Sądowych SAOS lub System Informacji Prawnej LEX), o tyle bardziej dokładne opisy incydentów trudniej znaleźć – przykładem może być syntetyczny opis m.in. na stronie internetowej wielkopolskiej policji. Z przedstawionego tam obrazu wynika, że osoba zatrudniona na stanowisku analityka przez kilka miesięcy przekazywała informacje osobie pracującej w konkurencyjnym przedsiębiorstwie: dane o zakupie surowca, odbiorcach, szczegółach procesu produkcji, detalach finansowych.
To przykład wręcz podręcznikowy, a ponieważ wydarzył się niedawno, skłania do refleksji nad procesem ochrony informacji, w którym procedura ochrony tajemnicy przedsiębiorstwa, zasada wiedzy koniecznej i procesowa dywersyfikacja dostępu do informacji są tak ważne. Procedura, zasada wiedzy koniecznej oraz dywersyfikacja dostępu – wielokrotnie zwracam na to uwagę.

Gdyby to było tak proste, to życie byłoby zbyt łatwe, a być może nawet nudne. Niestety to też nie jest wystarczające. Sama procedura, nawet precyzyjnie i rzetelnie realizowana, może nie wystarczyć, jeśli chronione informacje będą zabezpieczane jedynie od strony proceduralnej. Praktycy wiedzą, jak trudno udowodnić, że dana informacja jest tajemnicą przedsiębiorstwa. Powszechnie wiadomo, że przy danych tabelarycznych zawierających układ tabeli, wartości liczbowe i formuły mamy szereg informacji, które pozwalają na wiarygodne zbudowanie tezy o prawach własności tych danych, ale zapewne wielu czytelników spotkało się z argumentem …mój klient po prostu podchodzi do tworzenia tych dokumentów w ten sposób, ponieważ zapoznał się z nim podczas studiów na tej uczelni; jest to więc wiedza powszechna.

W dokumentach tekstowych jest jeszcze trudniej. W obu przypadkach z pomocą przychodzą różne techniki dotyczące ciągu następujących po sobie wyrazów, formatowania tekstu, a nawet operatorów graficznych. Wymagają one jednak tak samo skrupulatnego podejścia, jak definiowanie tajemnicy przedsiębiorstwa.

Perspektywa 2.
Złodziej jest u nas

Najczęściej pracownicy wykorzystują swoje stanowisko do czerpania własnych korzyści, choć oczywiście nie tylko w tym celu. Zwykle to typowa korupcja, ale niestety, zdarza się, że pracownicy utrzymują swoje relatywnie niezbyt dobrze płatne zatrudnienie np. w celu stałego przysparzania sobie dochodów w przedsiębiorstwach własnych, rodzinnych bądź będących w relacji przyjacielskiej. Liczne przykłady tego typu procederów są dostępne publicznie, choćby w Systemie Analizy Orzeczeń Sądowych.

Jednym z ciekawszych jest zdarzenie, które dotyczyło wykorzystania informacji stanowiących tajemnicę przedsiębiorcy przygotowującego ofertę przetargową. Wbrew ciążącemu na niej obowiązkowi w stosunku do przedsiębiorcy (…) wykorzystała we własnej działalności gospodarczej informacje stanowiące tajemnice przedsiębiorstwa w ten sposób, że po uzyskaniu od pokrzywdzonego istotnych informacji na temat przetargu (…) wzięła udział w przetargu, wygrywając go
Osoba, która w efekcie wygrała przetarg, będąc pracownikiem, miała dostęp do całości prac nad ofertą przetargową, w wyniku czego mogła przygotować ofertę „najkorzystniejszą” dla siebie.

Podobne incydenty dotyczą np. wykorzystania danych o kosztach utrzymania ciągu technologicznego i ofert składanych przez konkurentów obecnego dostawcy tej usługi, aby przygotować ofertę korzystniejszą, choć jedynie pozornie, precyzyjnie przygotowany wzrost niektórych składników kosztowych spowodował bowiem, iż już po roku faktyczne koszty tej usługi były większe. Mechanizm ten można niestety zastosować także w innych obszarach, np. zakup komponentów produkcyjnych czy sprzedaż wyrobów gotowych, a dotyczy on w takim samym zakresie wyrobów i usług.

Inny przykład. Ostatnimi czasy w serwisie społecznościowym rozgorzała dyskusja na temat nieuczciwych spedytorów przechodzących do konkurencji wraz z bazą klientów, a nawet – o zgrozo – praktyk niektórych firm transportowych, propagujących ten model działania i praktycznie wspierających pracowników w ich niecnym procederze. Z moich doświadczeń – przede wszystkim w branży ochrony, ale nie tylko – wynika, że transfer informacji o klientach i warunkach współpracy z nimi jest niestety praktyką powszechną.
Złodziej „na pokładzie” to sytuacja trudna do zarządzania, gdyż taka osoba potrafi wysyłać komunikaty maskujące prawdziwy problem, a znając przedsiębiorstwo od środka, tworzyć obraz trudny do odszyfrowania, bo opierający się na znajomości nie tylko operacji, finansów i procedur, ale także relacji interpersonalnych, kiedy wystarczy odpowiednią informację przekazać w odpowiedni sposób odpowiedniej osobie, aby osiągnąć odpowiedni skutek. Czyli mówiąc wprost – wysłać impuls, kierując się znajomością sympatii i antypatii, i w ten sposób wykreować akceptację bądź odrzucenie oferty. Wydawałoby się, że w świecie wszechobecnych procedur takie działanie jest niemożliwe, ale niestety procedury są tworzone i realizowane przez ludzi, a oni wciąż nie są wolni od emocji. I nigdy nie będą wolni od ułomności. Procedury pomagają więc zabezpieczyć się przed złodziejem wewnętrznym, zmniejszając ryzyko związane z jego działalnością, ale go nie eliminują. Co należy zrobić? Połączyć procedury z zasadą wiedzy koniecznej i dywersyfikacją dostępu do informacji.

Perspektywa 3.
Złodziej odchodzi od nas

Zdarza się również, że pracownik przygotowuje sobie „mocny start” u nowego pracodawcy i w tym celu kopiuje różne informacje, najczęściej know-how, ale też procedury, umowy, kalkulacje kosztów, plany marketingowe itp. To zjawisko nasila się wraz z negatywnym odbiorem swojej sytuacji przez pracownika bądź w czasach niepewności. Ostatnie Badanie Nadużyć Gospodarczych (EY) pokazuje, że w czasach kryzysowych (obecny kryzys COVID-19, doświadczenia z lat 2007–2008) nadużycia zdarzają się znacznie częściej. W obszarze bezpieczeństwa informacji niezmiernie ważne jest zrozumienie istoty i wartości chronionego zasobu. Termin know-how jest tak pojemny, że dość często prowadzi do stanów skrajnych, które w praktyce już same w sobie mogą zagrażać bezpieczeństwu informacji. Można spotykać się np. ze skrajnym podejściem: U nas tylko TO jest tajemnicą. A bardzo często wystarczy przejrzeć kosze, wyciągnąć z nich kilka wadliwych wydruków i zadać sobie pytania: Za ile kupiłaby to konkurencja? albo Czy takie informacje z konkurencyjnej firmy przydałyby się panu?, aby dojść do wniosku, że tych tajemnic jest więcej.

Drugim skrajnym, ale nie mniej groźnym stanem jest kwalifikowanie wszystkiego jako tajemnicy najwyższej rangi, co pracownicy często uważają za obsesję. W efekcie symulują ochronę informacji i z czasem proces ten zanika, ale bez świadomości kierownictwa, które jest święcie przekonane, że ochrona informacji cały czas jest na najwyższym poziomie. Dlatego tak istotne jest dobre zrozumienie wartości chronionych informacji i dobranie środków ochronnych adekwatnych do wartości. Dotyczy to rozwiązań zarówno fizycznych, technicznych i proceduralnych, jak i budujących świadomość pracowników. Ciekawym przykładem jest historia z województwa podlaskiego, pokazana w postaci wyciągu z wyroku.

W okresie od marca 2008 r. do 31 stycznia 2011 r. (…), działając w celu osiągnięcia korzyści majątkowej w postaci zatrudnienia w konkurencyjnym przedsiębiorstwie, poprzez wielokrotne kopiowanie na nośniki USB, uzyskała program komputerowy w postaci plików formatu E (Excel – przyp. autora) z zapisem równań służących do optymalizacji mieszanek paszowych…

Jak widać, arkusz Excel, którego wiele osób nie identyfikuje jako know-how, może być zasobem wysokiej wartości, a nade wszystko bazą dającą przedsiębiorcy przewagę konkurencyjną. Zrozumienie tego mechanizmu jest kluczowe w tworzeniu efektywnego systemu ochrony informacji. Samo zrozumienie jednak nie wystarczy, potrzebne są procedura, zasada wiedzy koniecznej i dywersyfikacja dostępu do informacji.

Perspektywa 4.
TYLKO DO WASZEJ WIADOMOŚCI

Do pochylania się nad tym przykładem skłonił mnie post zamieszczony w jednym z serwisów społecznościowych. Przytaczam go w wersji nieco okrojonej, aby nie koncentrować uwagi na firmie czy miejscu zdarzenia, a jedynie na problemie, jakim jest nieświadomy i niekontrolowany ulot informacji.

Nie wiem, czy są tu pracownicy biura w (…), ale dzisiaj byłem w stanie bez większego problemu, stojąc na podwórku, przeczytać wasze maile i dokumenty z (…), które ktoś wyświetlał na ścianie naprzeciwko okna.

Pojęcie „ulot informacji” zaczerpnąłem z dziedziny kompatybilności elektromagnetycznej, ponieważ prace nad wykorzystaniem promieniowania elektromagnetycznego do uzyskiwania informacji z tych systemów już wiele lat temu doprowadziły do stworzenia urządzeń pozwalających zapoznać się z informacjami przetwarzanymi w de facto podsłuchiwanym systemie. Efektem tych prac było także opracowanie standardu sprzętu odpornego na podsłuch elektromagnetyczny (Tempest) oraz różnego rodzaju kabin i wykładzin ekranujących pole elektromagnetyczne, chroniących przed ulotem informacji.

Historia ulotu elektromagnetycznego powinna skłonić nas do myślenia o ulocie nieelektromagnetycznym. Bezpieczeństwo IT będzie bowiem bezużyteczne, jeśli wrażliwą treść wyświetlimy na ekranie, który osoba postronna będzie widziała, np. przez okno. Taki ulot informacji mamy też w wielu miejscach. Któż z nas nie widział osób pracujących na komputerze podczas podróży samolotem czy pociągiem, podczas pobytu w restauracji, poczekalni lotniskowej czy kolejowej, a nawet w miejscach publicznych.

Dotyczy to nie tylko informacji przetwarzanych w urządzeniach, ale także wydruków i rozmów, które w dobie IT security są często lekceważone. Kiedyś byłem świadkiem rozmowy dwóch grup, które omawiały swoje projekty. W pewnym momencie jeden z uczestników zorientował się, że sąsiedzi rozmawiają o tym samym przetargu: cenie, sposobie jej negocjacji, informacjach o konkurencji. Ulot informacji w pełnym wydaniu. Obie grupy szybko się przeniosły w bardziej odległe od siebie miejsca, nie zwracając uwagi na mnie, chociaż wciąż pozostawali w zasięgu mojego wzroku. A gdybym to ja był konkurentem obu grup albo osobą działającą na zlecenie innego konkurenta? Podjęte środki ochronne były niewystarczające zarówno przed ujawnieniem problemu, jak i po ujawnieniu. Wyposażony w mikrofon dobrej jakości uzyskałbym cenne informacje bez potrzeby zmiany miejsca. Co gorsza, dowiedziałbym się rzeczy z pewnością jeszcze bardziej wrażliwych, bo uczestnicy sądzili, że problem został rozwiązany, a to usypia czujność.

Ochrona informacji ma wiele wymiarów, często niewidocznych lub nieoczywistych, bo ukrytych w dźwięku, obrazie, kształcie, a nawet kolorze. To, co piszemy, rysujemy i mówimy, jest równie ważne, jak to, gdzie i jak to robimy, bo wielokrotnie nie trzeba podsłuchów ani specjalistów od szpiegostwa, aby tajemnice trafiły do konkurencji. Wystarczy nieświadomość. Być może prawdopodobieństwo takiej sytuacji jest znikome, ale jest jeszcze coś, o czym warto pamiętać, a co dotyczy każdego obszaru bezpieczeństwa.

Perspektywa 5.
Teoria nieprzypadkowych przypadków

W ochronie informacji często spotykamy incydenty, w których przypadek wielokrotnie jest jedynym możliwym wytłumaczeniem wystąpienia zdarzenia. Oczywiście pozornie. Ciekawy incydent został przedstawiony wiele lat temu w artykule Zaufany człowiek szefa. Opisano w nim włamanie dotyczące informacji, przy czym skradzione informacje dotyczyły nie tylko operacji przedsiębiorstwa, ale także intymnej sfery prezesa zarządu. A kontekst zdarzenia wskazywał, że właśnie o nie chodziło.

I tu poruszamy temat bardzo istotny, gdyż informacje w różny sposób wrażliwe dla kierownictwa przedsiębiorstwa czy kluczowych pracowników także powinny być chronione, mogą bowiem zostać wykorzystane do uzyskania określonego zachowania osób, których te informacje dotyczą. Szantaż bezpośredni lub pośredni (osoba bliska osobie, na którą ktoś chce wpływać) jest w oddziaływaniu na środowiska biznesowe obecny także od dziesięcioleci. Historia IRA czy ETA jest nimi przepełniona. W tym kontekście zakres informacji posiadanych przez tzw. osoby zaufane jest istotny, a najważniejszym narzędziem pozwalającym chronić się przed zagrożeniem z tej strony są: procedura, zasada wiedzy koniecznej i dywersyfikacja dostępu do informacji.

Zarządzanie ryzykiem w ochronie informacji, podobnie jak w ochronie zasobów fizycznych, musi być faktyczne, funkcjonujące i w pełni efektywne. Realizowane zza biurka takie nie jest.

Jacek Grzechowiak
Menedżer ryzyka i bezpieczeństwa. W ramach własnej działalności doradza organizacjom biznesowym w zarządzaniu ryzykiem. W przeszłości związany z grupami Securitas, Avon i Celsa, w których zarządzał bezpieczeństwem i ryzykiem. Absolwent WAT, studiów podyplomowych w SGH i Akademii L. Koźmińskiego. Gościnnie wykłada na uczelniach wyższych.

Bezpieczeństwo informacji z perspektywy praktyka

“Bezpieczny Biznes” – odc. 39/2021

Zostaw komentarz

Serwis wykorzystuje pliki cookies. Korzystając ze strony wyrażasz zgodę na wykorzystywanie plików cookies.