Nie pomogą najbardziej zaawansowane technologie ani najbardziej rozbudowane procedury, jeżeli będziemy zachowywali się lekkomyślnie i lekceważyli podstawowe zasady bezpieczeństwa. Zagrożenie może bowiem pojawić się w każdej chwili i w każdym miejscu. I to wcale nie za sprawą nowoczesnej teleinformatyki. Ostrożność trzeba zachować nawet w najprostszych, najbardziej banalnych sytuacjach. Takie wnioski płyną z listopadowego spotkania CSO Council.

Spotkanie odbywało się pod hasłem „Jak zabezpieczyć zarząd, czyli bezpieczeństwo informacyjne kluczowych osób w firmie”. Nie tylko te osoby powinny być jednak w polu szczególnego zainteresowania osób odpowiedzialnych za bezpieczeństwo organizacji. Zwracali na to uwagę dr Łukasz Kister, niezależny ekspert, i Grzegorz Postek, członek zarządu Integrated Consulting. Nawet pracownicy na niższych stanowiskach mają dostęp do ważnych informacji, na przykład istotnych dla konkurencji. Stażystka, praktykant, asystentka, specjalista mogą być również ludźmi na usługach konkurencji. 

Trzeba więc bardzo uważać nie tylko na to, kogo się zatrudnia, lecz również na to, z kim się na co dzień pracuje – uczulali prelegenci. Opisali przykład firmy, która poniosła duże straty z powodu lekkomyślnego zachowania swoich menedżerów w palarni. Przy papierosie wymieniali się ważnymi uwagami w obecności stażystki z zagranicy. Byli przekonani, że nie zna języka polskiego, tymczasem rozumiała wszystko, o czym mówili. 

Podobny błąd popełniają też często pracownicy na zagranicznych delegacjach. Wydaje im się, że obsługa hotelu nie będzie wiedziała, o czym rozmawiają. Zapominają chociażby o tym, że za granicą pracuje coraz więcej Polaków, którzy też mogą chcieć dorobić sobie do stałej pensji. Dlatego też niezwykle istotne jest, aby zwracać uwagę nie tylko na to, co się mówi, ale również gdzie i w czyjej obecności. Niby to prawda stara jak świat, ale wciąż, jak się okazuje, wymagająca przypominania. 

Osoby od bezpieczeństwa w firmach powinny mieć świadomość odpowiedzialności, jaka na nich ciąży w każdej niemalże sytuacji. Powinny w każdym momencie liczyć się z konsekwencjami własnych działań lub ich zaniechania. Jeśli w postępowaniu z udziałem top managementu coś pójdzie nie tak, to nie tylko prezes będzie się tłumaczył. „Bezpiecznik” będzie musiał również udowodnić, że dochował w tej sytuacji wszelkiej, należytej staranności. 

dr Łukasz Kister, niezależny ekspert

Prezes pod ochroną 

Ze strony samego zarządu poważnym zagrożeniem dla firmy może być dążenie za wszelką cenę do osiągnięcia sukcesu biznesowego, bez zważania na wszelkie inne uwarunkowania i okoliczności. Szefowie bezpieczeństwa powinni pamiętać, aby przy wprowadzaniu nowego produktu na rynek zapewnić również ochronę projektu. Prezesi czy inni członkowie top managementu, pochłonięci wizją rynkowych podbojów i rozwoju firmy, nie będą często zważać na zachowanie w tajemnicy istotnych szczegółów przedsięwzięcia, chociażby po to, by się pochwalić spodziewanym sukcesem przed kolegami z branży. Osoba odpowiedzialna za bezpieczeństwo musi jednak w takich sytuacjach zachować zimną krew. Zapewnienie ochrony nowemu projektowi rynkowemu jest w jej gestii. W przeciwnym razie sukces może odnieść konkurencja, na przykład doradzająca nam firma konsultingowa sprzeda jej nasz pomysł na nowy produkt.

Realne zagrożenia dla firmy może powodować postawa prezesa-gadżeciarza – ciągle głodnego nowinek technologicznych, ciągle goniącego za najnowszymi urządzeniami i rozwiązaniami. Warto sobie zadać pytanie, czy rzeczywiście zawsze prezes musi mieć najnowszy model smartfona, czy zawsze musi korzystać z najnowszego laptopa lub tabletu. Jak mu jednak odmówić dostępu do najnowszych „zabawek”? Zwłaszcza w przypadku, gdy ich dostarczenie leży w gestii szefa IT, a nie menedżera ds. bezpieczeństwa. 

Wyjściem może być potraktowanie sytuacji w kategoriach testowania zabezpieczeń nowych rozwiązań technologicznych. Wtedy i prezes będzie zadowolony, i dział bezpieczeństwa będzie miał korzyść w postaci wiedzy do szerszego wykorzystania, gdy nowinki technologiczne się upowszechnią i będą dostępne dla większej liczby pracowników. Tutaj jednak też kluczowe znaczenie ma świadomość ryzyk związanych z nieodpowiedzialnymi zachowaniami. Co z tego, że zostaną wydane pieniądze na bezpieczne połączenia w firmowej sieci, skoro prezes zostawi służbowego smartfona dziecku albo będzie za jego pośrednictwem uzgadniał w taksówce szczegóły ważnego kontraktu? 

Szczególne wyzwania dla osoby odpowiadającej za bezpieczeństwo w firmie wiążą się ze współpracą ze służbami w sytuacji popełnienia przestępstwa czy podejrzenia o korupcję. Trzeba pamiętać, że działania służb, które mają prawo żądać dostępu do informacji, nie mogą paraliżować działania przedsiębiorstwa. Prowadzącym śledztwo trzeba uświadamiać chociażby biznesowe skutki długotrwałego zatrzymania laptopa lub komputera. Gdy to nie pomaga, należy zgłosić zażalenie do protokołu, a gdy i to nie skutkuje, można złożyć skargę do prokuratury. Służbom nie można utrudniać działań, co nie znaczy, że trzeba się na wszystko zgadzać i w konsekwencji doprowadzić do zatrzymania funkcjonowania firmy. Dobrą praktyką jest szkolenie pracowników, jak się mają zachować w momencie pojawienia się służb, na przykład do kogo zadzwonić, gdy pojawią się funkcjonariusze. 

Grzegorz Postek, członek zarządu Integrated Consulting

Ciągle na nasłuchu

W technologiach nie można pokładać całej nadziei w zapewnieniu bezpieczeństwa, ale technologii nie wolno lekceważyć, ignorować czy pomijać. Wciąż doskonalone są techniczne środki pozyskiwania informacji – podsłuchu, nagrywania obrazów, przekazywania dostępu do dokumentów. Rozwój technologii sprawia, że podsłuchiwanie możliwe jest na coraz większą odległość i za pomocą coraz bardziej zminiaturyzowanych urządzeń. To sprawia, że tzw. pluskwę z mikrofonem lub kamerą można umieścić dosłownie wszędzie, choćby za obrazem w sali konferencyjnej, w przewodzie wentylacyjnym, w przedłużaczu elektrycznym, myszce komputerowej, kluczach, butelce z wodą mineralną, kablu USB, różnego rodzaju uchwytach i pokrętłach, w czujkach dymu. Do podsłuchiwania można użyć smartfona, w sieci jest dostępne nawet tanie oprogramowanie szpiegujące. 

Jak się przed tym chronić? Piotr Roguski, członek zarządu – skarbnik ISSA Polska, zaprezentował nowoczesne narzędzia i rozwiązania techniczne służące zarówno do wykrywania umieszczanych nielegalnie w firmie szpiegowskich urządzeń, jak i zakłócania ich pracy. Można za ich pomocą zlokalizować mikrofony bezprzewodowe czy kamerki, lecz także na przykład fałszywe BTS-y zbierające ruch z całego otoczenia. Udaje się wykryć nie tylko aktywne urządzenia, ale i wiele urządzeń uśpionych. 

Do najszerzej znanych za sprawą przekazów medialnych urządzeń zabezpieczających należą tzw. szumidła, czyli generatory szumu. Skuteczność ich działania jest jednak zależna od wielu różnych czynników. Dobrze jest dodatkowo zabezpieczyć okna, wentylację, podłogę. Dzisiejsze mikrofony kontaktowe są zdolne do nagrywania nawet przez 60-centymetrowy mur. W czasie spotkanie biznesowego można zostawić smartfony w specjalnej skrzynce, która uniemożliwia ich aktywację w celach szpiegowskich, ale pozwala na odbiór przychodzących połączeń.  

Na nic się zdadzą najbardziej nawet zaawansowane technologicznie metody i narzędzia do sprawdzania pomieszczeń przed spotkaniami, jeżeli nie zostaną dochowane podstawowe warunki bezpieczeństwa. Wystarczy, że po sprawdzeniu wejdzie do zabezpieczonego pokoju lub gabinetu prezesa sekretarka czy sprzątaczka, które przyniesie na bucie albo ubraniu „pluskwę” i strząśnie ją na włochaty dywan. Dobrze by było, doradzał prelegent, aby przed objętymi szczególną ochroną pomieszczeniami były kamery rejestrujące wszystkich wchodzących, a samo wejście było możliwe tylko po podaniu specjalnego kodu. Jak pokazuje praktyka, najprostszą drogą ataku pozostają wciąż zwykłe, proste, codzienne sytuacje i działania. 

Nie ma czegoś takiego jak stuprocentowa pewność, że nie jesteśmy podsłuchiwani czy podglądani. Nie można, nawet korzystając z najnowszych osiągnięć techniki, zapewnić stuprocentowego zabezpieczenia. Dlatego tak ważna jest wciąż świadomość zagrożeń i przestrzeganie na co dzień reguł bezpiecznego zachowania. Poziom bezpieczeństwa można jednak poprawić dzięki nowym technologiom. Trzeba tylko umieć z nich korzystać. 

Piotr Roguski, członek zarządu – skarbnik ISSA Polska

Jak powietrze

Najważniejsze, aby stosowane przez firmę zabezpieczenia nie były uciążliwe dla jej pracowników, w szczególności dla prezesów i innych członków top managementu. Jest to o tyle trudne, że zagrożenia cały czas się zmieniają, co wymaga zapewnienia ochrony w każdym miejscu i w każdym czasie. A prezesi czy członkowie zarządów ciągle podróżują w celach biznesowych i mają zwyczaj pracować z różnych miejsc, w tym często z domu. 

Ochrona szefa, jak podkreślał Piotr Tkaczyk, CSO w Fortinet, musi być stała i skuteczna, a przy tym niewidoczna, żeby nie przeszkadzała w pracy. Z pomocą mogą przyjść w tym zakresie rozwiązania bazujące na sztucznej inteligencji. Nie potrzebują żadnej konfiguracji czy ustawienia przez osobę korzystającą z połączeń sieciowych. Działają na zasadzie profilowania użytkownika i w sposób automatyczny. To może zwiększać ich skuteczność ochrony, gdyż przy coraz większej ilości i rosnącej złożoności zagrożeń w sieci człowiek nie byłby w stanie samodzielnie nad nimi zapanować. 

Szefowie firm mogą się obawiać, że bazujące na sztucznej inteligencji, działające automatycznie rozwiązania zabezpieczające posłużą do ich śledzenia. To nieuzasadnione. Korzystające z profilowania urządzenia sprawdzają tylko, czy użytkownik jest faktycznie tym, za kogo się podaje, a nie zbierają informacji o tym, co robi w sieci. 

Piotr Tkaczyk, Systems Engineer, Fortinet