We wcześniejszych artykułach omówiłem pokrótce Instrukcję Zarządzania Systemem Informatycznym oraz Politykę prywatności na przykładzie sklepu internetowego. Pora zagłębić się w struktury kadrowe firmy i poruszyć temat wdrożenia systemu bezpieczeństwa informacji, który jest koniecznością w przypadku operowania tajnymi danymi oznaczonymi wysoką klauzulą poufności lub danymi wrażliwymi. Pozwoli to uzyskać szybką reakcję na wydarzenia, które prowadzą do wycieku danych i zablokować szkodliwe działanie. Najczęstszą przyczyną utraty danych są błędy popełniane przez pracownika firmy. Niestety czynnik ludzki jest nadal największym zagrożeniem ze względu na wielorakie możliwości perswazji oraz propozycje korzyści majątkowych lub społecznych. Świadome działanie prowadzące do ujawnienia cennych danych zdąża się nazbyt często w przedsiębiorstwach i trudno walczyć z tym zjawiskiem. Jeżeli firma nie przestrzega podstawowych zasad bezpieczeństwa IT i nie dysponuje przemyślaną polityką bezpieczeństwa informacji, to prawdopodobnie jest to tylko kwestia czasu, kiedy urażony pracownik zechce trochę namieszać. Wyciek danych może być spowodowany nie tylko wrogością. Często zaniedbanie w obowiązkach i wręcz lekceważące podejście do danych firmy może spowodować utratę kontroli nad informacją. Dlatego aby zapobiec takim wydarzeniom należy szkolić pracowników oraz uświadamiać, że przetwarzanie cennych informacji to złoto dwudziestego pierwszego wieku. I w odpowiedni sposób musi być strzeżone.
Aspekty prawne
Każdy pracownik przed zatrudnieniem powinien przejść obowiązkowe szkolenie mające na celu zapoznanie go ze specyfiką przedsiębiorstwa oraz zasadami jakie obowiązują przy przetwarzaniu danych. Pracownik powinien również podpisać osobną umowę o zachowaniu poufności oraz o tajemnicy firmowej. Ważne aby taka umowa zawierała wszystkie obowiązujące w danym czasie przepisy prawa a pracownik powinien poświadczyć (własnym podpisem) odbycie szkolenia oraz zapoznanie się z tymi informacji. Musi on wiedzieć co grozi za nieprzestrzeganie wytycznych firmy oraz za ujawnienie tajemnicy firmy lub danych wrażliwych.
Kodeks Karny
Art. 265. Ujawnienie lub wykorzystanie informacji niejawnej o klauzuli „tajne” lub „ściśle tajne”
1. Kto ujawnia lub wbrew przepisom ustawy wykorzystuje informacje stanowiące tajemnicę państwową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
2. Jeżeli informację określoną w § 1 ujawniono osobie działającej w imieniu lub na rzecz podmiotu zagranicznego, sprawca podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
3. Kto nieumyślnie ujawnia informację określoną w § 1, z którą zapoznał się w związku z pełnieniem funkcji publicznej lub otrzymanym upoważnieniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 266. Ujawnienie lub wykorzystanie informacji uzyskanej w związku z wykonywaną funkcją lub czynnościami służbowymi
1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Funkcjonariusz publiczny, który ujawnia osobie nieuprawnionej informację stanowiącą tajemnicę służbową lub informację, którą uzyskał w związku z wykonywaniem czynności służbowych, a której ujawnienie może narazić na szkodę prawnie chroniony interes, podlega karze pozbawienia wolności do lat 3.
3. Ściganie przestępstwa określonego w § 1 następuje na wniosek pokrzywdzonego
Art. 267. Bezprawne uzyskanie informacji
1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.
4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie.
5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego.
Art. 268. Utrudnianie zapoznania się z informacją osobie uprawnionej
1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli czyn określony w § 1 dotyczy zapisu na informatycznym nośniku danych, sprawca podlega karze pozbawienia wolności do lat 3.
3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
Art. 268a. Niszczenie, uszkadzanie, usuwanie, zmienianie lub utrudnianie dostępu do danych informatycznych
1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.
2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.
Art. 269. Niszczenie, uszkadzanie, usuwanie lub zmienianie danych informatycznych o szczególnym znaczeniu
1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych.
Art. 269a. Zakłócanie pracy systemu informatycznego, teleinformatycznego lub sieci teleinformatycznej
Art. 269a. Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
Art. 287. Oszustwo komputerowe
1. Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
3. Jeżeli oszustwo popełniono na szkodę osoby najbliższej, ściganie następuje na wniosek pokrzywdzonego.
Powyższe przepisy mają zastosowanie również do osób nie zatrudnionych w przedsiębiorstwie więc nie dotyczą one tylko i wyłącznie pracowników.
Nabór pracowników
Każdy pracownik powinien już na etapie rozmowy kwalifikacyjnej, zostać poinformowany o obowiązkach jakie spoczywają na konkretnym stanowisku pracy (na tym na które się ubiega). Każda taka osoba powinna być zapoznawana z procedurami określonymi w polityce bezpieczeństwa informacji a po zatrudnieniu i podpisaniu stosownych dokumentów, przejść szkolenie w zakresie bezpieczeństwa informacji.
Bardzo ważne jest również aby zatrudniać pracowników z odpowiednimi kwalifikacjami, które nie koniecznie są zbieżne z wykształceniem. Poziom szkolnictwa jest, moim zdaniem, bardzo wątpliwy i uzyskanie świadectwa ukończenia szkoły nie jest jednoznaczne z posiadanymi kwalifikacjami. Dotyczy to w szczególności szkół prywatnych, które są tworzone głownie dla zarobku kadry kierowniczej. Ty czytelniku, możesz mieć odmienne zdanie, jednak radzę dobrze zapoznać się z kandydatem, który ma zająć odpowiedzialne stanowisko i mieć kontakt z danymi wewnętrznymi firmy. Liczy się nie tylko wykształcenie ale również indywidualne cechy osobowości takie jak spostrzegawczość, poszanowanie prawa, inteligencja, empatia itp. Przykładowo szukaj pracownika, który jest otwarty ale nie papla na lewo i prawo co dziś robił w firmie. Należy zawsze brać margines błędu.
Każdy pracownik powinien od początku wiedzieć do jakich danych ma dostęp. Zazwyczaj osoby z konkretnego działu są zobligowani do przetwarzania danych / informacji, które dotyczą tylko ich działu i żadnego innego. Wyjście poza ten schemat może doprowadzić do utraty kontroli nad danymi. Jako przykład podam, że pracownik z działu sprzedaż może operować na danych osobowych i nie powinien mieć wiedzy i dostępu do wiadomości technicznych na temat zabezpieczenia tych danych. Są to informacje przeznaczone dla administratora i działu zabezpieczenia technicznego i jako takie powinny mieć do nich dostęp osoby z tego właśnie poziomu.
Bardzo często w małych firmach można spotkać się z pewnym dość poważnym w skutkach błędem. Muszę przyznać, że dość często sam miałem z nim do czynienia i wiem z doświadczenia, że nie łatwo jest mu się przeciwstawić. Pracownik techniczny a w szczególności ten, który jest odpowiedzialny za bezpieczeństwo IT, może dostać polecenie od swojego przełożonego aby przygotować zbiorczy plik zawierający wszystkie loginy i hasła do poszczególnych składowych infrastruktury It tj. systemów operacyjnych, systemów CMS i CRM, baz danych, wykaz użytkowników itp. Pół biedy jeśli zostanie to przygotowane w sposób bezpieczny w postaci zaszyfrowanego kontenera lub pliku bazy login / hasło (menadżer haseł). Jednak nader często spotykam się z takim poleceniem aby przygotować te dane na kartce papieru. Pod żadnym pozorem pracownik nie powinien się godzić na takie działanie. Taka kartka z danymi z pewnością nie będzie odpowiednio chroniona i będzie zawierała wszystkie niezbędne informacje do zniszczenia firmowej infrastruktury IT. Pracodawca zatrudniający specjalistę od spraw bezpieczeństwa IT, nakłada na niego obowiązek i odpowiedzialność za utrzymanie tejże infrastruktury w stanie umożliwiającym normalne funkcjonowanie. Jeżeli te informacje wyciekną i dojdzie do włamania i wycieku danych to kto będzie za to odpowiedzialny? Jak w ogóle wykryć gdzie doszło do przełamania zabezpieczeń. Nie mówiąc już o tym, że hasła należy zmieniać co pewien czas, tak więc taka kartka dla szefa również musiałaby być aktualizowana. Podsumowując, pomysł ze zbiorczą kartką zapełnioną danymi firmy jest, moim zdaniem, bardzo nierozsądny.
Szkolenia pracowników
Szkolenia pracowników powinny być przeprowadzane dość często w zależności od zmian jakie zachodzą w polityce bezpieczeństwa informacji oraz w poszczególnych procedurach postępowania dla konkretnego zagrożenia. Pamiętaj, że sposoby ataków hackerów ewoluując nieustannie dostosowując się do stanu faktycznego zabezpieczenia firmy. To, że dzisiaj mamy skuteczną metodę na ochronę systemu nie oznacza, że jutro nie zostanie ona złamana co wymusi konieczność zaktualizowania procedur i oprogramowania. Także szkolić trzeba.
Dobrym pomysłem jest przeprowadzanie okresowych testów penetracyjnych na konkretne działy firmy, tak aby pracownicy mogli zaznajomić się z metodologia przeprowadzania ataków i gdzie można omówić popełniane błędy. Trzeba zwrócić uwagę, że bezpieczeństwo informacji składa się w dużej mierze procedur technicznych dlatego każdy pracownik musi je zrozumieć. Muszą one być napisane prostym językiem bez nomenklatury czysto technicznej, jednak nie wszystko da się przełożyć na prosty język. Pamiętaj o tym i ułatwiaj życie osobom nie technicznym.
Zgłaszanie przełamania zabezpieczeń i słabości systemu
Jak zgłaszać naruszenie? Przede wszystkim osoba, która wykryła włamanie lub innego typu przełamanie zabezpieczeń, powinna nie rozgłaszać tego wśród pracowników oraz innych osób (zewnętrznych) i natychmiast powiadomić o zdarzeniu osobę odpowiedzialną za bezpieczeństwo IT w firmie. Nie można upubliczniać takich informacji z tego względu, że nie wiemy czy do ataku doszło z zewnątrz czy z wewnątrz. A taka informacja będzie ostrzeżeniem dla napastnika, że jego działania zostały wykryte. Może to również spowodować zacieranie śladów elektronicznych przez napastnika co wydłuży lub nawet uniemożliwi zdobycie danych, które pomogą w jego identyfikacji.
Oczywiście należy postępować według procedury i zgodnie z polityką bezpieczeństwa. Zadaniem pracownika jest powiadomić o tym konkretną osobę i wykonać określone czynności zabezpieczające (zgodne z procedurą). Zbadanie incydentu należy do działu technicznego i to oni przejmą nadzór nad zdarzeniem.
Podobnie ma się z wykryciem słabości systemu. Jeżeli pracownik stwierdzi, że system może mieć wadę, powinien o tym fakcie powiadomić przełożonego lub osobę odpowiedzialną za bezpieczeństwo IT firmy. Podatność powinna zostać naprawiona w jak najkrótszym czasie a procedury zaktualizowane. Sam pracownik nie powinien próbować naprawić wadliwie działającego systemu. Po pierwsze nie ma on wiedzy technicznej i może doprowadzić do powstania większych szkód. Po drugie nie jest on do tego uprawniony (i nie powinien być).