single-post.php

CZŁOWIEK NAJSŁABSZYM OGNIWEM W ZAKRESIE BEZPIECZEŃSTWA DANYCH
Posts

Blog

Człowiek najsłabszym ogniwem w zakresie bezpieczeństwa danych

CZŁOWIEK NAJSŁABSZYM OGNIWEM W ZAKRESIE BEZPIECZEŃSTWA DANYCH

Czynnik ludzki jest zawsze największym zagrożeniem również w bezpieczeństwie danych.

Choć bezpieczeństwo i integralność danych informatycznych w dużej mierze oparte są na rozwiązaniach programowo – sprzętowych, to często naruszenie ciągłości działania systemów, a także różne awarie, wycieki i kradzieże danych są efektem aktywności ludzkiej. Człowiek najsłabszym ogniwem w zakresie bezpieczeństwa danych

 

DOBRZE SKONFIGUROWANY SYSTEM PODSTAWĄ BEZPIECZEŃSTWA ZASOBÓW CYFROWYCH

Bezpieczeństwo danych cyfrowych wytwarzanych i przechowywanych przez organizacje stanowi podstawę funkcjonowania współczesnych firm i instytucji. Tym bardziej, że większość informacji cyfrowych nie jest nigdy drukowana, lecz zapisywana jest wyłącznie w pamięciach stacji roboczych poszczególnych pracowników organizacji, a następnie przesyłana jest do innych członków zespołu, bądź udostępniana w ramach wewnętrznej sieci.

W związku z tym, o bezpieczeństwie danych w organizacji decyduje prawidłowość i regularność wykonywania kopii zapasowych zarówno w odniesieniu do poszczególnych jednostek, jak również globalnej bazy danych na firmowym serwerze. Choć niekiedy bywa i tak, że zespół odpowiedzialny za wykonywanie backupów jest przekonany o ich istnieniu, pomimo, że system już dawno przestał wykonywać je w sposób zautomatyzowany. Dlatego niezwykle ważne jest wdrażanie w ramach firmowych struktur polityk bezpieczeństwa, regulujących między innymi zasady wykonywania oraz testowania backupów, a także mechanizmy weryfikacji ich stosowania.

 

BŁĘDY LUDZKIE PRZYCZYNĄ AWARII

Niezależnie jednak od posiadania przez organizację odpowiednich procedur oraz mechanizmów odpowiedzialnych za bezpieczeństwo danych cyfrowych, to najczęściej człowiek popełnia błąd, skutkujący utratą danych – w wielu przypadkach (zwłaszcza w mniejszych firmach zlecających na zewnątrz obsługę informatyczną, w związku z tym nie posiadających własnych struktur), nie przeprowadza się regularnych audytów prawidłowości funkcjonowania systemu backupowego.

Poza tym, niejednokrotnie do awarii skutkującej brakiem dostępu do danych dochodzi właśnie w trakcie rekonfiguracji zasobów, wymiany zużytych urządzeń na nowe, czy też przenoszenia baz na nowe platformy programowo – sprzętowe.

 

KRADZIEŻE FIRMOWYCH DANYCH CYFROWYCH PRZEZ PRACOWNIKÓW

Kolejnym zagrożeniem dla danych cyfrowych generowanych przez organizację są akty kradzieży informacji dokonywane przez pracowników. Wielu osobom wydaje się, że skoro wytworzyły jakieś dane (np. bazy danych, dokumenty, czy projekty graficzne) w ramach stosunku pracy, bądź innej relacji prawnej łączącej z podmiotem, na rzecz którego wykonywana była praca, to mogą je sobie bezkarnie przywłaszczyć. Kopiowanie danych firmowych ma najczęściej miejsce, kiedy pracownik przechodzi do innego pracodawcy, bądź rozpoczyna działalność na własny rachunek.

Oczywiście wszelkie nieuprawnione formy uzyskiwania dostępu do danych cyfrowych, a także udostępniania ich innym osobom oraz wykorzystywania w ramach własnej działalności jest zabronione przez prawo i podlega odpowiedzialności cywilnej i karnej, w szczególności na podstawie przepisów kodeksu karnego, ustawy o zwalczaniu nieuczciwej konkurencji, a także kodeksu cywilnego. Jednym z przepisów regulujących odpowiedzialność jest art. 267 kodeksu karnego, który stanowi:

1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat

2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.

4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1–3 ujawnia innej osobie.

 

KRADZIEŻ DANYCH PRZEZ PRACOWNIKA FIRMY ANTYWIRUSOWEJ

W ostatnim czasie z problemem kradzieży danych musiała zmierzyć się firma Trend Micro, dostarczająca rozwiązania antywirusowe oraz prowadząca badania w zakresie bezpieczeństwa w sieci. Jak wynika z doniesień medialnych, a także z komunikatu samej firmy naruszenia dokonał były pracownik, który wykradł fragment bazy danych zawierającej informacje o niemal 68 tysiącach klientów firmy, obejmujące między innymi imię i nazwisko oraz numer telefonu. W dalszej kolejności osoba ta sprzedała dane oszustom, którzy wydzwaniali do klientów firmy podając się za jej współpracowników. Przykład ten pokazuje, iż niekiedy „szewc bez butów chodzi”, bowiem zdarzenie dotknęło podmiot, który z założenia stoi na straży bezpieczeństwa danych cyfrowych.

 

Wszelkie incydenty dotyczące danych cyfrowych, jak kradzieże, czy nieuprawnione użycie, bądź udostępnienie danych powinny być zgłaszane właściwym służbom. Podmiot będący ofiarą naruszenia może przeprowadzić także prywatne śledztwo we własnym zakresie, polegające w szczególności na zabezpieczeniu nośników i sprzętu, z użyciem którego doszło do incydentu. W sprawach kradzieży danych z pomocą przychodzi także informatyka śledcza, która pozwala na zabezpieczanie dowodów naruszeń, a następnie opracowanie raportu zawierającego poczynione ustalenia. Tak przygotowany materiał dowodowy może stanowić silny argument w postępowaniu przeciwko złodziejowi firmowych tajemnic.

Pamiętajmy: Człowiek najsłabszym ogniwem w zakresie bezpieczeństwa danych można również powiedzieć najsłabszym ogniwem w systemach bezpieczeństwa.