Czynnik ludzki - najbardziej niedoceniany element systemów bezpieczeństwa informacji

W mediach bardzo dużo mówi się na temat konieczności zabezpieczenia danych osobowych. Ale są one tylko jednym rodzajem informacji poufnych, które mają strategiczne znaczenie dla funkcjonowania każdej organizacji. Poza danymi osobowymi, takimi „strategicznymi” informacjami mogą być także: różnego rodzaju tajemnice przedsiębiorstwa, informacje powierzane przez naszych klientów, a także informacje niejawne, o których mowa w ustawie o ochronie informacji niejawnych.

Jakie mogą być skutki wycieku poufnych informacji?

Dużo zależy od tego, co i w jaki sposób wycieknie. Jeśli otrzymujemy od naszego klienta biznesowego zestaw poufnych informacji, to bardzo często, niejako w pakiecie, zastrzega on wysoką karę umowną, która grozi nam za ich wyciek. To pierwsza z negatywnych konsekwencji.

W przypadku klientów indywidualnych dużo zależeć będzie od skali wycieku informacji. Te największe mogą skutkować dużymi odszkodowaniami, a także bardzo niekorzystnie wpłynąć na nasz wizerunek. Mogą ściągnąć na nas kontrole GIODO oraz uwagę mediów (w negatywnym aspekcie). Może zdarzyć się również tak, że konkurencja wykorzysta przygotowywany przez nas w tajemnicy pomysł biznesowy, co również narazi nas na dużą stratę.

To wystarczające powody, aby strategiczne informacje potraktować priorytetowo i skutecznie je chronić. Większość osób sprawujących kierownicze stanowiska zdaje sobie sprawę z tej potrzeby. Sama świadomość jednak nie wystarczy. Może okazać się, że zbudowany kosztem milionów złotych system okaże się mniej skuteczny od systemu wdrożonego kosztem kilkunastu tysięcy złotych.

Jak więc nie dać się naciągnąć i wybrać optymalny dla naszej organizacji system?

Na jakie elementy systemu powinniśmy zwrócić szczególną uwagę?

Prowadząc szkolenia lub konferencje z zakresu ochrony danych osobowych, zauważyłem, że moi słuchacze mają pewne oczekiwania i wyobrażenia dotyczące treści wykładu.

Audytorium najczęściej spodziewa się, że opowiem o rodzajach szaf na dokumenty, super bezpiecznych hasłach uwierzytelniających, nowych metodach szyfrowania korespondencji elektronicznej czy też skomplikowanych procedurach, które pozwolą wychwycić każdą próbę kradzieży informacji. Niejednokrotnie są zdziwieni, kiedy tak dużą część szkolenia poświęcam tzw. czynnikowi ludzkiemu.

Moje doświadczenie pokazuje jednak, że to właśnie czynnik ludzki decyduje o tym, czy nasza organizacja skutecznie chroni poufne informacje.

Podstawy systemów ochrony danych osobowych (informacji)

Zacznijmy jednak od podstaw.

Każdy system ochrony informacji powinien składać się z pewnych stałych elementów. W artykule skoncentruję się na systemie służącym ochronie jednego rodzaju informacji – danych osobowych. Jednakże zasady będą podobne, niezależnie od rodzaju chronionej informacji. Aby skutecznie chronić dane osobowe w organizacji, ustawodawca dał nam pewne wytyczne. Skonfrontowanie wytycznych ustawodawcy z moim doświadczenie praktycznym skutkuje następującą „składnią” skutecznego systemu ochrony danych osobowych:

  • procedury bezpieczeństwa spisane w formie dokumentu polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym,

  • zabezpieczenia fizyczne,

  • zadbanie o tzw. czynnik ludzki.

Aby system był skuteczny w praktyce, niezbędne są wszystkie elementy. Jednak to zawsze czynnik ludzki odegra rolę decydującą.

Socjotechnika

Zacznę od przypadku Kevina Mitnicka, jednego z najbardziej znanych na świecie hakerów. Nasz „bohater” w wieku 12 lat dokonał swojego pierwszego wielkiego odkrycia. Odkrycie to polegało na tym, że zdał sobie sprawę z łatwości, z jaką można w pewnych okolicznościach, uzyskać informację od innych ludzi.

Podróżując autobusem komunikacji miejskiej w okręgu Los Angeles, wdał się w bardzo owocną, jak się później okazało, konwersację z kierowcą autobusu miejskiego.

Chłopiec dowiedział się od kierowcy, że skomplikowany układ dziurek pozostawianych przez autobusowe kasowniki nie jest przypadkowy. Dzięki temu haker uzyskał informacje pozwalające mu na przygotowanie sobie odpowiednio podziurkowanych biletów na każdy dzień tygodnia.

Takie były początki. Później, stosując najróżniejsze metody socjotechniczne, Kevin Mitnick uzyskiwał bezcenne informacje od instytucji rządowych i prywatnych firm.

Tak naprawdę wszystkie metody, które stosował Kevin Mitnick, opierały się na bardzo podobnym schemacie. Zaczynał od wzbudzenia zaufania swojego rozmówcy. Okazało się, że zawsze był sposób na spoufalenie się z rozmówcą posiadającym cenne informacje. Czasem wystarczyło po prostu znać korporacyjny żargon, który sprawiał, że rozmówcy od razu traktowali go jak „swojego”. Czasem wystarczyło powołać się na przełożonego rozmówcy. W przypadku kierowcy autobusowego - zapewne wystarczyła dziecięca „niewinność” i chęć podzielenia się informacją przez kierowcę.

Kto z nas, zapytany o drogę do dworca kolejowego, odpowie niechętnie? Większość ludzi cieszy się, że może być dla kogoś ważna i pomocna. Z chęcią szczegółowo opisze drogę na miejsce.

Dlaczego różnego rodzaju metody socjotechniczne stanowią według mnie największe zagrożenie dla bezpieczeństwa posiadanych przez nas informacji?

Przede wszystkim dlatego, że ludzie nie są ich tak świadomi, jak istnienia komputerowych wirusów czy koni trojańskich. W przypadku zagrożeń płynących bezpośrednio z Sieci – istnieje ogromny wybór produktów i usług, które pozwolą zminimalizować ryzyko utraty danych. W przypadku zagrożeń socjotechnicznych w grę wchodzi znacznie mniej nieprzewidywalny czynnik ludzki.

W wielkich korporacjach decyzje podejmuje się na szczeblu strategicznym. Przeznacza się ogromne sumy pieniędzy na zabezpieczenie informacji, ale nie inwestuje się w ludzi, którzy tymi informacjami obracają. Jakie są tego skutki? Zobaczmy sami na następnym przykładzie.

Czynnik ludzki - najbardziej niedoceniany element systemów bezpieczeństwa informacji

Bardzo otwarty open space

Znajdujemy się w dużym banku, w departamencie zajmującym się udzielaniem kredytów hipotecznych. Jeden z pracowników właśnie otrzymał wniosek kredytowy do analizy. Razem z pełnym pakietem dokumentów – dowodem osobistym, zaświadczeniem o wysokości zarobków kredytobiorcy, etc. Pracownik szybko zauważa, że kredytobiorcą jest osoba pracująca w sąsiednim dziale. Podekscytowany woła siedzących obok pracowników i pokazuje im wysokość zarobków kredytobiorcy. W dziale trwa żywa dyskusja przerywana co chwilę wybuchami śmiechu. Kierownik patrzy zza swojego biurka i nie reaguje w żaden sposób, czekając, aż pracownicy wrócą na swoje miejsca.

W opisanym przypadku naruszono tajemnicę bankową oraz przepisy ustawy o ochronie danych osobowych. O ile informacje nie wyjdą poza krąg osób pracujących w open space – zapewne bank nie poniesie żadnych konsekwencji. Znacznie ważniejsze jest jednak pokazanie wyraźnego przyzwolenia przez przełożonych na tego rodzaju sytuacje. W przyszłości może to skutkować dla banku bardzo poważnymi konsekwencjami.

Podana wyżej sytuacja jest klasycznym przykładem przewartościowania formalnych procedur i dokumentów kosztem czynnika ludzkiego. Bank zainwestował duże pieniądze w stworzenie systemu papierowych upoważnień do przetwarzania danych osobowych oraz oświadczeń o zachowaniu tajemnicy bankowej. Jednak dla bardzo dużej części pracowników to było zbyt mało. Potrzebna jest osoba ciesząca się ich autorytetem, która będzie potrafiła postawić jasną granicę i podkreślić wagę informacji, którymi się oni posługują. Wystarczy krótkie, godzinne szkolenie, które zostanie zapamiętane przez pracowników znacznie bardziej niż samodzielna lektura oświadczeń czy ustawy o ochronie danych osobowych.

Wiele organizacji zamiast realizować szkolenia, ogranicza się do wręczenia pracownikowi oświadczenia, że zapoznał się z polityką bezpieczeństwa firmy i zobowiązuje się chronić dane osobowe i inne informacje niejawne. Takie działania w większości przypadków nie odnoszą należnego skutku. Pracownicy szybko zapominają treść pisanych językiem prawniczym regulaminów i procedur. Widząc, że pracodawca ograniczył się jedynie do wręczenia im suchego tekstu, uznają, że dla pracodawcy kwestie bezpieczeństwa informacji nie są zbyt istotne. Zdecydowanie odradzam budowanie systemów bezpieczeństwa informacji opartych o samodzielną lekturę procedur przez pracowników.

Kolejna kwestia to brak umiejętności postawienia granicy przez kadrę kierowniczą. Dawanie cichego przyzwolenia na naruszanie prawa do prywatności jest szczególnie niebezpieczne i bardzo mocno wpływa na poziom bezpieczeństwa informacji.

Warto pochwalić bank za zadbanie o kwestie formalne. Gdyby nastąpił wyciek informacji, to jest to z całą pewnością okoliczność łagodząca. Gdyby zainwestowano jedynie w szkolenia, a pracownicy nie podpisaliby żadnych upoważnień bądź oświadczeń, to mogłoby być trudno wykazać sam fakt odbycia szkolenia i znów wysiłki poszłyby na marne. Jednak upoważnienia, dokumenty i oświadczenia powinny być jedynie dopełnieniem systemu, a nie jego istotą.

Kolejna sprawa, na którą warto zwrócić uwagę, to odpowiednia forma przekazywania pracownikom informacji. Jeśli nasze szkolenia będą bazowały jedynie na straszeniu odpowiedzialnością, to skutek może być wręcz odwrotny od zamierzonego. Należy pokazać rolę poszczególnych pracowników w całym systemie, a także wskazać na fakt, że ustawa o ochronie danych osobowych to dla nich nie tylko pewne obowiązki, ale i cały katalog praw.

Również tych przysługujących im względem pracodawcy. Tylko pracownicy, którzy czują, że ich prawo do prywatności jest w pełni respektowane, będą szanowali prawo do prywatności obsługiwanych klientów.

Od czego więc zacząć?

Przede wszystkim, budując system ochrony informacji, musimy być świadomi roli czynnika ludzkiego. Żadne papierowe procedury i skomplikowane hasła same w sobie nie obronią nas przed wyciekiem danych osobowych lub innych strategicznych informacji.

Zanim stworzymy procedury, zapytajmy pracowników, gdzie widzą największe obszary ryzyka. Dobierzmy adekwatne metody, aby minimalizować ryzyko, pamiętając również o tym, że zbyt rygorystyczne systemy ochrony danych prowadzą w konsekwencji do… słabszej ochrony.

Idealnym przykładem jest tu zainstalowanie pracownikom skomplikowanych, wieloznakowych haseł służących do logowania się do systemu. Jeśli systemów jest kilkanaście, a hasła będą zmieniały się co 2 tygodnie, gwarantowanym efektem będą żółte karteczki z listami haseł przyklejane do ekranów. A więc ryzyko nieautoryzowanego logowania się… wzrośnie. Pamiętajmy też o tym, że funkcjonowanie systemu bezpieczeństwa informacji można sprawdzić jedynie w praktyce. Na papierze większość systemów prezentuje się doskonale. Niewiele z nich zdaje jednak praktyczny egzamin. Nie szlifujmy procedur bez końca. W końcu i tak życie będzie musiało je zweryfikować. Najważniejsze to odpowiednio zareagować i zmodyfikować te procedury, które się nie sprawdziły.

Autorem jest Przemysław Zegarek, Właściciel Lex Artist

DLP expert magazyn
DLP expert 2/2014


Tekst pochodzi z magazynu DLP expert 2/2014 (9)- który bezpłatnie można pobrać tutaj: https://www.dlp-expert.pl/magazine

Źródło: Redakcja