Bezpieczeństwo współczesnej firmy. Wywiad, szpiegostwo, ochrona tajemnic

Redakcja: Krzysztof Gajowiak

Projekt okładki: MDESIGN Michał Duława | michaldulawa.pl

Redakcja techniczna: Teresa Ojdana

Korekta: Joanna Myśliwiec

Copyright © Marek Ciecierski, Robert Nogacki

© Copyright for the Polish edition

by Wydawnictwo Studio EMKA

Warszawa 2016

Wszelkie prawa, włącznie z prawem

do reprodukcji tekstów i ilustracji

w całości lub w części,

w jakiejkolwiek formie – zastrzeżone.

Wszelkich informacji udziela:

Wydawnictwo Studio EMKA

ul. Królowej Aldony 6, 03-928 Warszawa

tel. 22 628 08 38, 616 00 67

wydawnictwo@studioemka.com.pl

www.studioemka.com.pl

ISBN 978-83-65068-07-1

Skład i łamanie: www.pagegraph.pl

Skład wersji elektronicznej: Tomasz Szymański

konwersja.virtualo.pl

Przedmowa

Od wielu lat zajmujemy się szeroko rozumianym bezpieczeństwem przedsiębiorstw, co znajduje odbicie zarówno w naszej codziennej aktywności zawodowej, jak i w publicystyce, w której korzystamy z własnych doświadczeń i przemyśleń oraz spostrzeżeń i sugestii naszych współpracowników. Liczne spotkania i rozmowy z ludźmi biznesu, konferencje, szkolenia, a także wizyty w przedsiębiorstwach jedynie utwierdzają nas w przekonaniu, że bezpieczeństwo informacyjne biznesu jest dzisiaj kwestią kluczową. Dzieje się tak z prostej przyczyny: informacja stała się strategicznym niematerialnym zasobem przedsiębiorstw. Współczesny biznes preferuje bardzo szybkie i zarazem odpowiedzialne działania oparte na aktualnej, trafnej, terminowej informacji, która w konsekwencji jest atutem w walce konkurencyjnej, daje szansę, aby zdobyć lepszą pozycję rynkową i pokonać konkurentów.

Wydaje nam się, że co do znaczenia informacji w świecie biznesu panuje powszechna zgoda. O wiele gorzej jest ze świadomością zagrożeń dla bezpieczeństwa informacji. Dla wielu przedsiębiorców nadal pozostaje to kategoria dość abstrakcyjna. Wielu z nich wydaje się, że ten problem ich nie dotyczy, więc spychają go na drugi lub dalszy plan. Naszym zdaniem to niebezpieczna postawa. Działania firm podlegają coraz większym zakłóceniom wskutek ataków wewnętrznych i zewnętrznych. Rosną zagrożenia dla prywatności. Przedsiębiorstwa muszą chronić dane osobowe pracowników i klientów i w coraz większym zakresie liczyć się z zagrożeniem cyberprzestępczością. Dlatego jest bardzo ważne, aby kwestie związane z bezpieczeństwem informacyjnym były uwzględniane w kontekście ryzyka przedsiębiorstwa. Z naszych doświadczeń wynika, że firmy, które wdrożyły systemowe zarządzanie bezpieczeństwem informacji, na ogół mogą się pochwalić wysokim poziomem kultury informacyjnej pracowników, odpornością na zagrożenia oraz łatwością przezwyciężania ich skutków.

Wszystko to sprawiło, że zdecydowaliśmy się wydać tę książkę. Uznaliśmy, iż istnieje uzasadniona potrzeba, aby poglądy dotyczące bezpieczeństwa informacyjnego w biznesie, wyrażane przez nas do tej pory w sposób fragmentaryczny i przyczynkarski, zebrać w spójną, logiczną całość i zaprezentować je jako swego rodzaju poradnik. Cel był jasny: pokazać zagrożenia i przedstawić sposoby, jak im zapobiegać. Zaproponowany w ostatniej części publikacji model zarządzania bezpieczeństwem informacji w przedsiębiorstwie nie jest teoretycznym projektem – liczne rozwiązania zaczerpnięto z praktyki biznesowej. Jest to również podsumowanie kilkuletniego dorobku Profesjonalnego Wywiadu Gospodarczego Skarbiec Sp. z o.o. w obszarze bezpieczeństwa informacyjnego, zbiorowego wysiłku pracowników i współpracowników naszej firmy.

Robert Nogacki

Marek Ciecierski

CZĘŚĆ IZAGROŻENIAWSPÓŁCZESNEGOBIZNESU1. Czego obawia się współczesny menadżer?

1.1. Obawy przedsiębiorcy globalnego

Na wstępie – wbrew tytułowi naszej książki – należy zaznaczyć, że to nie bezpieczeństwo informacji jest głównym problemem, który spędza sen z powiek współczesnego menadżera – a przynajmniej nie plasuje się na szczycie listy jego najpoważniejszych biznesowych koszmarów. Owszem, gdyby te niepokoje zgłębić, zapewne i ten rodzaj zagrożeń uznałby on za poważny, ale zdecydowanie nie umieści go na pierwszym miejscu.

Uzasadniając tę tezę, współczesnych menadżerów należy podzielić geograficznie, ponieważ nieco inne pytania nurtują menadżera globalnego (korporacja transnarodowa), a inne polskiego przedsiębiorcę, operującego wyłącznie na rynku wewnętrznym.

Otóż menadżerowie prowadzący działalność biznesową w skali globalnej z wielkim niepokojem obserwują nasilające się, groźne zjawisko cyberprzestępczości, która ze swej natury jest ukierunkowana na zakłócanie systemów informatycznych oraz informacyjnych. Jak wynika z najnowszych, dotyczących 2015 roku, badań przeprowadzonych przez PricewaterhouseCoopers (PwC), opublikowanych w dorocznym raporcie („18th Annual Global CEO Survey”), współczesna kadra menadżerska wyższego szczebla obawia się licznych potencjalnych oraz istniejących już zagrożeń dla rozwoju swojego biznesu. Są to zagrożenia, które w większości kreuje makrootoczenie i na które badani nie mają wpływu – katastrofy, zagrożenia polityczne, gospodarcze i handlowe.

W najnowszych badaniach menadżerowie globalni jako najważniejsze zagrożenie wskazali przeregulowanie gospodarki, które co prawda niepokoiło ich już w poprzednich latach, ale nie umieszczali go na tak eksponowanym miejscu. Na kolejnej pozycji znalazła się obawa o dostęp do kluczowych umiejętności, a następnie – podobnie często – zwracano uwagę na zagrożenia związane z deficytem finansowym i zadłużeniem oraz niestabilnością i niepewnością rozwoju w otoczeniu geopolitycznym. Obawę wywołują również widoczny w wymiarze globalnym trend, aby podnosić opodatkowanie biznesu, i – najbardziej istotne w kontekście naszej analizy – cyberzagrożenia, które są związane z ochroną danych (tabela 1.1). Innymi słowy, globalni menadżerowie poważnie traktują bezpieczeństwo informacyjne swoich przedsiębiorstw.

Tabela 1.1. Lista najpoważniejszych globalnych zagrożeń dla biznesu

Lp.

Rodzaj zagrożenia

Poziom zaniepokojenia(%)

2013

2014

2015

1.

Przeregulowanie gospodarki

69

72

78

2.

Dostęp do kluczowych umiejętności

58

63

73

3.

Deficyt finansowy i zadłużenie

71

71

72

4.

Niepewność sytuacji geopolitycznej

–

–

72

5.

Rosnące podatki

62

70

70

6.

Cyberzagrożenia, w tym brak ochrony danych

–

48

61

7.

Zachowania konsumentów

49

52

60

8.

Niestabilność społeczna

–

–

60

9.

Tempo zmian technologicznych

42

47

58

10.

Nowe przedsiębiorstwa na rynku

40

46

54

Źródło: PricewaterhouseCoopers, 18th Annual Global CEO Survey 2015.

Warto poświęcić nieco uwagi obawom związanym z przeregulowaniem gospodarki i zadać pytanie: Czy regulacje państwa idą za daleko? Wiele przykładów to potwierdza. Amerykańska ustawa antykryzysowa z 2010 roku, zwana ustawą Dodda–Franka (Dodd–Frank Act), stanowi dowód na to, że dobre intencje mogą się zamienić w regulacyjny koszmar. W tyle nie pozostaje też Komisja Europejska, która tworzy tyle barier i biurokratycznych wymogów, że ministrowie gospodarki Niemiec, Holandii, Polski i Wielkiej Brytanii wystosowali list, apelując do Brukseli o redukcję ograniczeń. A wszystkie te problemy wynikają z wysiłków Unii Europejskiej, która prowadzi zbożne dzieło konsolidacji, kodyfikacji i upraszczania istniejącego prawa oraz podniesienia jakości stanowienia nowego.

STUDIUM PRZYPADKU

Ustawa antykryzysowa Dodda–Franka – klasyczny przejaw przeregulowania1

Ustawę o reformie Wall Street i ochronie konsumenta, powszechnie zwana ustawą Dodda–Franka (od nazwisk jej autorów – senatora Christophera Dodda i kongresmena Barneya Franka), przyjęto 21 lipca 2010 roku, lecz nie została w całości zaimplementowana do systemu prawnego. Jej cel był szlachetny: miała zapobiec następnemu kryzysowi finansowemu. Strategia wydawała się sensowna – poprawa transparentności, powstrzymanie banków przed podejmowaniem nadmiernego ryzyka, zapobieganie nadużyciom finansowym, zerwanie z filozofią „zbyt duży, aby upaść”. Pozwalała regulatorom dowolnie decydować o losie instytucji finansowych znajdujących się w niepewnej sytuacji. W momencie uchwalania gorąco popierały ją koła finansowe i media. Miała 848 stron i – jak wyliczono – była 23 razy dłuższa niż ustawa Glassa–Steagalla, uchwalona w związku z kryzysem na Wall Street w 1929 roku. Co gorsza, każda z tych stron wymagała, aby regulator jeszcze ją uszczegółowił. Niektóre z tych doprecyzowań zajmowały kolejne setki stron. Pewien fragment „zasady Volckera”, który miał służyć ograniczeniu ryzykownego handlu własnościami przez bank, zawierał 383 artykuły i 1420 ustępów.

Zdaniem „The Economist” właściwie nikt tej ustawy nie czytał – oprócz rządu chińskiego. Firmy finansowe w Ameryce muszą się zatem przygotować do przestrzegania prawa, które częściowo jest niezrozumiałe, a częściowo nie zostało jeszcze wdrożone.

Problem w tym, że – jak przyznają nawet sami autorzy i zwolennicy ustawy – została ona „namalowana szerokimi pociągnięciami pędzla”, zbyt szybko i niejako pod wpływem chwili, a dopracowanie szczegółów zostawiono na później.

Wszelkie przeregulowania wynikają z dwóch przyczyn. Pierwsza to pycha twórców prawa. Prawnicy uważają, że są w stanie tak skonstruować prawo, aby przewidywało każdą ewentualność. Odnosi to odwrotny skutek, w kompleksowych regulacjach istnieją luki, które sprytni bankowcy i przedsiębiorcy mogą bezkarnie wykorzystywać. Druga przyczyna to lobbing. Wysiłki rządu, aby zarządzać mikrodziałaniami, sprawiają, że grupy interesu stają przed ogromną pokusą, aby walczyć dla siebie o specjalne względy. Kiedy ustawa ma setki stron, kongresmeni nie mają problemu z takim manipulowaniem zapisami, aby skorzystali na tym ich koledzy i sponsorzy.

STUDIUM PRZYPADKU

Przeregulowana Polska – nadprodukcja polskiego prawa

Ilość regulacji prawnych w Polsce zaczyna przekraczać tolerowany przez obywateli poziom. Jak pokazują badania, sprzyja to korupcji. Z liczbą regulacji wiąże się ich jakość. Jeśli prawo jest tworzone chaotycznie, w pośpiechu, aby zaspokoić bieżące potrzeby, niekiedy polityczne, odbija się to na jego jakości. W Polsce ustawy oraz inne akty prawne są nieustannie zmieniane, nawet krótko po wejściu w życie pierwotnego tekstu.

Przykłady:

■ Przeprowadzona w 2010 roku analiza 129 ustaw wykazała 148 różnych form reglamentacji działalności gospodarczej, w postaci koncesji, licencji, wpisów do rejestrów, zezwoleń i pozwoleń. Łączny roczny koszt tych regulacji dla przedsiębiorców i obywateli został oszacowany na 133 mln zł, podczas gdy korzyści dla budżetu uzyskiwane dzięki nim – na mniej więcej 8 mln zł.

■ Obowiązująca w latach 1994–2004 Ustawa o zamówieniach publicznych była nowelizowana 18 razy (średnio niemal dwa razy w roku). Uchwaloną w 2004 roku Ustawę Prawo zamówień publicznych nowelizowano ponad 20 razy – ostatnio 12 października 2012 roku. Ogółem więc w ustawach o zamówieniach publicznych wprowadzono około 40 nowelizacji. Specjaliści twierdzą, że czas na nowe prawo o zamówieniach publicznych.

■ Przepisy Ustawy o podatku dochodowym od osób fizycznych z 1991 roku od czasu jej uchwalenia zmieniły się ponad 150 razy i w obecnym kształcie zupełnie nie przypominają oryginalnego tekstu.

■ W pierwszych dwóch kwartałach 2011 roku ustawodawca wprowadził ponad 40 zmian w przepisach regulujących podatek VAT.

■ Prawo budowlane (ustawa z 7 lipca 1994 roku) do momentu ukazania się tekstu jednolitego w 2006 roku było nowelizowane kilkadziesiąt razy. Od daty obwieszczenia teksu jednolitego zdążono znowelizować tę ustawę kolejnych 17 razy.

■ Sejm VI kadencji (2007–2011) uchwalił 953 ustawy, z czego 70% stanowiły nowelizacje istniejących aktów prawnych, w tym 17 zmian kodeksu karnego. Tylko nieco gorzej Sejm radził sobie w kolejnej kadencji, kiedy posłowie uchwalili 753 ustawy i podjęli 282 uchwały.

■ Pierwotna Ustawa o ochronie informacji niejawnych „żyła” tylko 11 lat.

■ Ustawa o dostępie do informacji gospodarczej obowiązywała 7 lat.

Jeśli chodzi o zagrożenia czysto biznesowe, menadżerowie są szczególnie zaniepokojeni deficytem finansowym i zadłużeniem, niedostatkami w zakresie kluczowych kompetencji i wyższymi podatkami (tabela 1.3). Są to odwieczne obawy, ale rozwój wydarzeń sprawił, że wysunęły się na czołowe miejsca. W USA na przykład największa presja na administrację Obamy jest wywierana w związku z reformą systemu podatków korporacyjnych. W lutym 2013 roku prezydent zaproponował redukcję głównej stopy podatkowej przez likwidację dziesiątek ulg i subsydiów, co może bardzo mocno uderzyć w niektóre firmy. Jednocześnie na niespotykaną dotąd skalę toczy się bardzo ostra rywalizacja o kompetencje, przy jednoczesnym starzeniu się populacji i głębokich zmianach w procesie pracy.

Na szczególne podkreślenie zasługują zagrożenia, które badani wskazali w 2015 roku, a których w ogóle nie podnoszono w latach wcześniejszych – niepewność co do rozwoju sytuacji geopolitycznej (72%) i obawy o społeczną stabilność w otoczeniu biznesowym (70%). To oczywisty wynik pogłębiającego się kryzysu na Bliskim Wschodzie i w Afryce Północnej, ekspansji tzw. Państwa Islamskiego, a co za tym idzie – terroryzmu, napływu kolejnych fal imigrantów na kontynent europejski i wzrostu nastrojów nacjonalistycznych w tradycyjnych demokracjach zachodnich oraz w krajach Europy Środkowo-Wschodniej. Prowadzenie normalnego biznesu na Bliskim Wschodzie niekiedy graniczy z hazardem, ale trzeszczą też struktury niektórych państw demokratycznych, co nie sprzyja planowej, dynamicznej działalności gospodarczej.

Ten rodzaj zagrożeń jeszcze mocniej wyeksponowano w dorocznym badaniu Światowego Forum Ekonomicznego (The Global Risks Report 2015). Okazuje się, że w odczuciu większości z 900 badanych ekspertów z całego świata, 25 lat poupadkumuruberlińskiego, konflikt międzypaństwami znów jest najbardziej prawdopodobnym zagrożeniem (tabela 1.2). Potencjalny konflikt od tych, które znamy z przeszłości, różni się tym, iż może przybrać formę starcia technologicznego, zwłaszcza cyberataków, a i napięcia geopolityczne są odmienne od dotychczasowych.

Tabela 1.2. Największe zagrożenia dla biznesu pod względem ich prawdopodobieństwa i oddziaływania

Lp.

10 najpoważniejszych zagrożeń pod względem prawdopodobieństwa

Lp.

10 najpoważniejszych zagrożeń pod względem oddziaływania

1.

Konflikt między państwami

1.

Kryzys wodny

2.

Ekstremalne zjawiska pogodowe

2.

Epidemie chorób zakaźnych

3.

Krach w zarządzaniu na szczeblu narodowym

3.

Rozprzestrzenianie broni masowego rażenia

4.

Upadek państwa lub kryzys

4.

Konflikt między państwami

5.

Bezrobocie lub przerosty zatrudnienia

5.

Niepomyślna adaptacja do zmian klimatycznych

6.

Katastrofy naturalne

6.

Skokowy wzrost cen energii

7.

Niepomyślna adaptacja do zmian klimatycznych

7.

Awaria w systemach informatycznych infrastruktury krytycznej

8.

Kryzys wodny

8.

Kryzys finansowy

9.

Sprzeniewierzenie lub utrata danych

9.

Bezrobocie lub przerosty zatrudnienia

10.

Cyberataki

10.

Nieudana biodywersyfikacja lub krach ekosystemu

Źródło: Global Risk Perception Survey 2014, World Economic Forum.

Wskazane kompleksowe i nakładające się na siebie zagrożenia mogą stanowić prawdziwe wyzwanie dla stabilności społecznej pojmowanej globalnie. Sytuację dodatkowo pogarszają wciąż odczuwalne skutki światowego kryzysu finansowego oraz trwałe bezrobocie. Zagrożenia przekraczają granice krajów i kontynentów, co wymusza współpracę zainteresowanych stron, ale też może się przyczynić do pogłębienia nieufności i konfrontacji.

Jedno jest oczywiste: zagrożenia, przed którymi stoją menadżerowie, napływają z różnych kierunków, są coraz dynamiczniejsze i trudniejsze do przezwyciężenia, ujawniają się w coraz subtelniejszej, bardziej zniuansowanej postaci. W związku ze zmianą krajobrazu zagrożeń menadżerowie uświadamiają sobie, że dotychczasowe techniki zarządzania ryzykiem są niewystarczające. Rozumieją, iż w warunkach stagnacji gospodarczej nie mogą liczyć na to, że uratuje ich wznosząca fala wzrostu gospodarczego.

Jedynym wyjściem jest ucieczka do przodu, to znaczy budowa organizacji, która mimo trudnych warunków może przetrwać i rozwijać się, która będzie wystarczająco elastyczna, aby poradzić sobie z zagrożeniami i wyjść z tych zmagań jeszcze silniejsza.

1.2. Czego obawia się polski menadżer?

Badania pokazują, że obawy polskich przedsiębiorców są dość zróżnicowane. Na wstępie warto zaznaczyć, że dość wyraźnie różnią się oni w ocenie zagrożeń od menadżerów globalnych (tabela 1.3). Według przytaczanego tu badania PwC z 2015 roku przeprowadzonego wśród przedsiębiorców polskich („Co dziś dzieje się w biznesie? Wzrost mimo ciągłego ryzyka”) najpoważniejsze zagrożenie upatrują oni w wysokich lub zmiennych cenach energii (68%), które z kolei niepokoją „zaledwie” 59% globalnych menadżerów. Na drugim miejscu polski przedsiębiorca wymienia cyberzagrożenia, w tym brak ochrony danych, co – jak wskazaliśmy wyżej – budzi obawę 61% globalnych przedsiębiorców.

Co jednak szczególnie charakterystyczne, polscy przedsiębiorcy, w przeciwieństwie do globalnych, rzadziej dostrzegają nowe zagrożenia dla swoich firm. Tylko 52% uważa, że jest ich więcej niż 3 lata temu, podczas gdy na świecie odsetek ten wynosi 59%. Z kolei, co zapewne musi dziwić, zważywszy na stopień informatyzacji polskich przedsiębiorstw w porównaniu z firmami międzynarodowymi, polscy menadżerowie są o wiele bardziej zaniepokojeni cyberzagrożeniami i większą wagę przywiązują do cyberbezpieczeństwa w internecie (90%).

Tabela 1.3. Główne zagrożenia według polskich przedsiębiorców

Lp.

Rodzaj zagrożenia

Poziom zaniepokojenia(%)

1.

Wysokie lub zmienne koszty energii

68

2.

Cyberzagrożenia, w tym brak ochrony danych

68

3.

Zmiana poziomu wydatków i zachowań konsumentów

66

4.

Przekupstwo i korupcja

61

5.

Dostępność kluczowych umiejętności

61

6.

Zaburzenia łańcucha dostaw

57

7.

Tempo wprowadzania zmian technologicznych

48

8.

Nowe przedsiębiorstwa wchodzące na rynek

43

9.

Brak zaufania w branży

41

Źródło: PricewaterhouseCoopers, 18th Annual Global CEO Survey 2015. Polska edycja: „Co dziś dzieje się w biznesie? Wzrost mimo ciągłego ryzyka”.

Nieco innymi danymi dotyczącymi zagrożeń i obaw polskich przedsiębiorców dysponuje Business Centre Club (BCC). Z przeprowadzonego przez tę organizację sondażu wynika, że jako czynniki, które najbardziej zagrażają firmom i całej polskiej gospodarce w 2013 roku, przedsiębiorcy najczęściej wymieniali:

■ słabnący popyt wewnętrzny (27,9%),

■ spadek inwestycji publicznych (17,7%),

■ problemy z utrzymaniem płynności finansowej (16,2%),

■ presję konkurencyjną na ceny i marże zysku (13,2%),

■ mniejszy popyt zewnętrzny – spadek eksportu związany z gorszą sytuacją gospodarczą w Europie (10,3%),

■ wysokie oprocentowanie i wymaganie przez banki zabezpieczeń (5,9%),

■ biurokrację, złe prawo, niekompetencję administracji publicznej (5,9%),

■ drożejące surowce (2,9%)2.

W kontekście naszych zainteresowań warto odnotować fakt, że z tego sondażu nie wynika, aby polskim przedsiębiorcom sen z powiek spędzały zagrożenia w zakresie bezpieczeństwa informacji.

Jeszcze inaczej zagrożenia dla polskich przedsiębiorców i gospodarki postrzega Konfederacja Lewiatan. W swoim raporcie „Szanse i zagrożenia przedsiębiorstw w 2013 roku” do głównych zagrożeń zaliczyła:

■ brak zmian w regulacjach dotyczących prawa pracy,

■ wyczerpanie funduszy unijnych i brak substytutów,

■ wahania kursu złotego,

■ wzrost płacy minimalnej,

■ brak zmian w zamówieniach publicznych,

■ silne obniżenie skłonności do konsumpcji.

Podobnie więc jak przedsiębiorcy zrzeszeni w BBC także pracodawcy z Konfederacji Lewiatan jako zagrożeń w ogóle nie wymieniają kwestii związanych z bezpieczeństwem informacji.

Jest to tym bardziej symptomatyczne, że – jak pokażemy na przykładzie innych badań – „dzisiaj wiele organizacji nadal opiera się na przestarzałych strategiach bezpieczeństwa i prowadzi raczej nieskuteczną walkę z doskonale wyszkolonymi i zmotywowanymi przeciwnikami, którzy posługują się technologią jutra”3. Jednocześnie nie sposób oprzeć się wrażeniu (popartemu stosownymi wynikami badań), że wśród polskich przedsiębiorców panuje błogie przekonanie o słuszności działań swoich organizacji związanych z wdrażaniem i realizacją praktyk bezpieczeństwa.

2. Firmy nie dbają o bezpieczeństwo informacji

2.1. Diagnoza stanu bezpieczeństwa informacji

Aby uzasadnić tezę zawartą w tytule, na początek przypomnijmy, że niedawno doszło do wycieku poufnych danych w IBM – przypadek ten znalazł się w cieniu afery Snowdena4, chociaż obie sytuacje są bliźniaczo podobne.

W sierpniu 2013 roku były pracownik IBM przekazał amerykańskiemu portalowi InformationWeek obszerną dokumentację korporacji, z której wynikało, że IBM przecenia swoje przyszłe dochody z dostaw nowoczesnych technologii w zakresie chmury obliczeniowej. Koncern nie miał dobrych ekspertyz albo ukrywał prawdę. Otóż z ujawnionych dokumentów wynikało, że dochody IBM z dostaw tej technologii wyniosły w 2012 roku tylko 2,26 mld dolarów, co pozwalało przypuszczać, iż nierealne są założenia korporacji, która planowała do 2015 roku osiągać roczny zysk w wysokości 7 mld dolarów.

Na ironię zakrawa fakt, że IBM nie wie, jak do tego doszło. Były pracownik skopiował dokumenty w okresie zatrudnienia. Podzielił się informacjami, aby chronić klientów i byłych kolegów. Odmówił ujawnienia tożsamości, aby uniknąć utraty zaległej odprawy.

Przypadek IBM pokazuje, że tego rodzaju wewnętrzne zagrożenia powinny być poważnie brane pod uwagę we wszystkich firmach. Eksperci podkreślają, iż istnieją proste sposoby, aby zapobiec takim przypadkom. Gdyby IBM w ramach dobrych praktyk miał system monitorowania pracowników wysokiego ryzyka w czasie ich dostępu do krytycznych informacji, problemu można byłoby uniknąć.

Sprawa wykazała, że w korporacyjnej Ameryce w najlepsze trwa wojna partyzancka – głównie przy użyciu hakerstwa, za którego pomocą antagonizuje się konkurentów, a nawet partnerów. Hakerzy wabią byłych pracowników i wewnętrzne wtyczki, stosując najróżniejsze zachęty: oferują 5 minut sławy, zemstę na byłym pracodawcy lub korzyści materialne. Ostatnie badania pokazują, że kradzieże tożsamości i danych dokonywane przez zwalnianych pracowników przybierają alarmujące rozmiary.

Casus IBM uwiarygodnia więc nasze twierdzenie, że nawet najbogatsze firmy nie doceniają bezpieczeństwa informacji, ale podobne wnioski można wyciągnąć z ostatnich badań nad bezpieczeństwem w sferze IT tak renomowanych firm jak Ernst & Young, B2B International czy Kaspersky Lab. W kontekście polskiej rzeczywistości opinię tę potwierdzają codzienne doświadczenia spółki Profesjonalny Wywiad Gospodarczy Skarbiec wyniesione z licznych szkoleń. Indagowani przedsiębiorcy nie potrafią odpowiedzieć na proste pytania: Jaki rodzaj informacji chronią? Co stanowi u nich tajemnicę przedsiębiorstwa? Czy wypracowali spójną politykę bezpieczeństwa informacji? Wciąż są to kwestie kłopotliwe.

Zarzut ten, rzecz jasna, nie odnosi się w tym samym stopniu do wszystkich firm. Polityka bezpieczeństwa informacji różni się w poszczególnych organizacjach i zależy od wielu czynników: rozmiarów, poziomu wrażliwości przetwarzanych informacji, miejsca na rynku, ilości i rodzaju danych oraz wykorzystywanych systemów informatycznych.

Co prawda, można mówić o pewnej ogólnej poprawie w sferze bezpieczeństwa informacji, ale z zastrzeżeniem, że przedsiębiorstwa przegrywają wyścig z rosnącymi zagrożeniami generowanymi przez nowoczesne technologie.

Niektóre wskaźniki zawarte w opracowaniach wymienionych firm są alarmujące. O ile do tej pory jako główne źródło zagrożeń informacyjnych wskazywano pracowników, o tyle według osiemnastego światowego raportu bezpieczeństwa informacji firmy Ernst & Young w 2015 roku najważniejszym wyzwaniem stają się organizacje przestępcze przypuszczające cyberataki na infrastrukturę informacyjną (59% wskazań)5. Niepokoi także to, że aż 54% ankietowanych firm nie ma w swoich strukturach komórek odpowiedzialnych za monitorowanie zagrożeń wynikających z nowych technologii. Co więcej, 36% badanych nie sygnalizowało, iż zamierza takie jednostki powołać. Ponad 1/3 firm nie ma programu śledzenia zagrożeń, a blisko 2/3 twierdzi, że zarządzanie zagrożeniami ma w ich firmie średni lub niski priorytet. Wielu badanych (79%) oświadczyło, że obecnie głównym ryzykiem w tym obszarze jest niska świadomość zagrożeń związanych z technologiami mobilnymi.

W odczuciu badanych w ostatnich dwóch latach krajobraz zagrożeń uległ znacznym zmianom. Do najważniejszych cyberzagrożeń zaliczono phishing (44%) i złośliwe oprogramowanie (43%), podczas gdy jeszcze dwa lata temu plasowały się one na dalszych miejscach, ustępując kradzieży informacji finansowych, własności intelektualnej, szpiegostwu przemysłowemu.

Za główną przyczynę mankamentów w zakresie bezpieczeństwa informacji swoich firm badani uznali brak środków finansowych (62%), a następnie niedostatek odpowiednio wykwalifikowanej kadry (57%). Prawie 1/3 ankietowanych sygnalizowała brak świadomości zagrożeń u zarządu lub brak wsparcia z jego strony.

Główne tezy raportu bezpieczeństwa IT autorstwa Kaspersky Lab (Global IT Security Risks Survey 2015)6 zasadniczo współbrzmią z wynikami badań zaprezentowanych przez Ernst & Young – koncentrują się one na nieco innych obszarach i dostarczają odmiennych, ale nie sprzecznych statystyk.

Chociaż można z przekonaniem stwierdzić, że bezpieczeństwo IT znajduje się wśród trzech priorytetów menadżerów badanych firm (wskazało je 50% ankietowanych), to nie są oni w pełni usatysfakcjonowani dotychczasowym poziomem bezpieczeństwa. 47% badanych oceniło, iż poziom ten nie spełnia wszystkich oczekiwań, zwłaszcza jeśli chodzi o zabezpieczenie transakcji finansowych. Z kolei 32% respondentów stwierdziło, że w przeszłości lub w okresie badań byli obiektem wrogiego ataku. Innymi słowy, 1/3 firm obawia się, iż utraciła z tego powodu jakieś dane, co oznacza wzrost o 7% w stosunku do poprzedniego roku. Koresponduje to z poglądem wyrażonym przez 52% badanych, którzy przyznali, że w ich w przedsiębiorstwie poprawy wymagają plany reagowania na ataki i całościowe plany bezpieczeństwa IT.

W 2015 roku 46% respondentów uznało, iż liczba ataków na ich firmę się zwiększyła (w 2014 roku uważało tak 49%). Wzrósł natomiast (z 39% do 44%) odsetek tych, którzy są przekonani, że w tym względzie nie nastąpiły zmiany. Badania firmy Kaspersky Lab wskazują jednak, iż w ostatnim roku aż 90% firm doświadczyło jakiejś formy zewnętrznego zagrożenia, którego stopień jest różny – od minimalnego do ekstremalnego. 22% firm w rezultacie zagrożenia zewnętrznego utraciło swoje dane.

Duży niepokój wśród globalnych przedsiębiorców budzi bezpieczeństwo banków i transakcji finansowych. 47% respondentów uważa, że instytucje te powinny zwiększyć bezpieczeństwo transakcji finansowych realizowanych online, ale zagadnienie to nie dotyczy wyłącznie banków. 48% badanych przedsiębiorstw przyznało, iż musiało zwiększyć poziom bezpieczeństwo własnych transakcji finansowych. Z kolei 90% firm zatrudniających więcej niż 250 pracowników zapewniło, że zapłaciłoby więcej za wyższy poziom bezpieczeństwa, jeśli oznaczałoby to zwiększenie bezpieczeństwa transakcji finansowych.

Nadal duży problem w kontekście bezpieczeństwa informacji stanowią pracownicy firm. W 2015 roku 73% badanych przedsiębiorstw odnotowało wewnętrzne incydenty bezpieczeństwa. Najpoważniejsze z nich wiążą się z lukami w zabezpieczeniach oprogramowania i przypadkowymi działaniami pracowników, w tym z niezamierzonymi wyciekami lub nierozważnym dzieleniem się informacjami z inną osobą. 21% badanych przedsiębiorstw w ostatnim roku straciło wrażliwe dane ze względu na działania ludzi z wewnątrz organizacji. 30% respondentów przyznało, iż do wycieku doszło wskutek luk w zabezpieczeniach oprogramowania. Problem jest jednak głębszy, ponieważ aż 46% badanych nie miało pewności, czy wyższa kadra zarządzająca (poza IT) dobrze rozumie zagrożenia IT, przed którymi stoi firma.

Konkluzje raportu bezpieczeństwa IT firmy Kaspersky Lab

■ 23% badanych przedsiębiorstw uważa, że pełna ochrona przed utratą danych jest zbyt droga, aby uzasadniała koszty inwestycji, natomiast 33% stwierdziło, iż nie dysponuje wystarczającymi środkami, aby wdrożyć procedury ochronne. Natomiast spośród tych, które już zainwestowały w ochronę danych, tylko 31% ocenia, że były to wydatki uzasadnione.

■ 17% przedsiębiorstw korzysta z zewnętrznych usług eksperckich w zakresie wdrażania bezpieczeństwa IT, a 42% – z usług edukacyjnych w zakresie bezpieczeństwa IT, aby utrzymywać jego wysoki poziom w firmie. 41% badanych firm sięga po zewnętrzne usługi śledcze już po zaistniałym incydencie.

■ Incydenty bezpieczeństwa skutkują kradzieżą zasobów, wyciekiem informacji i niszczeniem reputacji firmy. 57% zaatakowanych przedsiębiorstw przyznało, że konsekwencje wiązały się ze znacznymi dodatkowymi kosztami, a 60% – iż po atakach znacznie spadła ich zdolność do normalnego funkcjonowania. Za metody ataków wywierające najbardziej niszczycielski wpływ uznano phishing, włamania sieciowe i cyberszpiegostwo.

■ Naruszenia bezpieczeństwa informacji niekiedy pociągają za sobą olbrzymie koszty. W przypadku sektora małych i średnich przedsiębiorstw średni koszt przestoju po ataku wyniósł około 16 tys. dolarów, ale dla dużego przedsiębiorstwa (korporacji) jest to już około 203 tys. dolarów. Jeśli jednak w grę wchodzi złośliwe oprogramowanie uniemożliwiające wykonywanie przez firmę operacji, koszty przestojów zdecydowanie rosną. W 2015 roku przestój po takim ataku kosztował korporację średnio 1,4 mln dolarów (1,5 mln dolarów w 2014 roku), a w przypadku małych i średnich przedsiębiorstw wartość ta wzrosła z 52 tys. dolarów do 66 tys. dolarów.

■ W 2015 roku w przypadku 87% incydentów bezpieczeństwa przy naprawie była wymagana pomoc profesjonalistów zewnętrznych (konsultantów IT, prawników, menadżerów zarządzających ryzykiem). W 56% sytuacji, gdy doszło do utraty danych, wiązało się z to poważnym nadszarpnięciem wizerunku i reputacji firmy.

W szeroko pojmowanym bezpieczeństwie IT panuje niekiedy totalna beztroska. Jak pokazują dane amerykańskiej firmy SplashData, użytkownicy różnych aplikacji komputerowych nadal słabo chronią swoje dane. Na liście 25 najgorszych haseł zabezpieczających dane komputerowe w 2014 roku niezmiennie królują takie jak „hasło”, „123456”, „12345678”, „qwerty” (tabela 1.4). Właściciele takich haseł dostępu stają się najbardziej prawdopodobnymi ofiarami ataków hakerskich. Mniejsza, jeśli problem dotyczy prywatnych zasobów, o wiele gorzej natomiast, jeśli takie same zabezpieczenia stosuje się w firmach do ochrony poufnych informacji biznesowych.

Tabela 1.4. Lista najgorszych haseł zabezpieczających dostęp w sieci w 2014 roku

Miejsce w rankingu

Hasło

Zmiana pozycji w stosunku do 2013 roku

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

123456

password

12345

12345678

qwerty

123456789

1234

baseball

dragon

football

1234567

monkey

letmein

Abc123

111111

Bez zmian

Bez zmian

Awans o 17 pozycji

Spadek o 1 pozycję

Spadek o 1 pozycję

Bez zmian

Awans o 9 pozycji

Nowe

Nowe

Nowe

Spadek o 4 pozycje

Awans o 5 pozycji

Awans o 1 pozycję

Spadek o 9 pozycji

Spadek o 8 pozycji

Źródło: SplashData Inc. 2015, www.splashdata.com.

Z tą dość pesymistyczną diagnozą stanu bezpieczeństwa informacji w przedsiębiorstwach kłócą się nieco konkluzje wynikające z badań ankietowych PwC, zwłaszcza z raportu dotyczącego badań przeprowadzonych wśród polskich przedsiębiorców „Globalny stan bezpieczeństwa informacji 2015. Zarządzanie ryzykiem w cyberprzestrzeni”. Dowiadujemy się bowiem, że stan bezpieczeństwa polskich przedsiębiorstw – w opinii samych badanych – jest więcej niż pożądany. Składają się na to następujące wskaźniki:

■ 90% przedsiębiorstw deklaruje, iż zastosowano pełną kontrolę dostępu do informacji,

■ 85% deklaruje, że ma systemy wykrywania i zapobiegania włamaniom (IPS),

■ 65% respondentów z Polski stwierdziło, że mają program uświadamiania zagrożeń i organizują odpowiednie szkolenia,

■ 64% podało, że wymaga od pracowników ukończenia szkolenia w zakresie zasad poufności,

■ 81% ankietowanych stwierdziło, że dysponuje planami zapewnienia ciągłości działania / działań odtworzeniowych (disaster recovery).

Co więcej, z porównania stanu bezpieczeństwa informacyjnego przedsiębiorstw polskich i światowych, dokonanego przez PwC w tym samym badaniu, wynika, iż w większości stosowanych praktyk bezpieczeństwa polskie firmy górują nad globalnymi (tabela 1.5).

Tabela 1.5. Podstawowe praktyki w zakresie bezpieczeństwa informacji

Lp.

Praktyka bezpieczeństwa

Świat

Polska

1.

Zabezpieczenia kontroli dostępu

59%

90%

2.

Dostęp użytkowników uprzywilejowanych

56%

79%

3.

Program podnoszenia świadomości w zakresie bezpieczeństwa informacji

51%

65%

4.

Wymóg, by firmy i osoby współpracujące przestrzegały firmowej polityki ochrony bezpieczeństwa

54%

75%

5.

Szyfrowanie wiadomości e-mail

55%

65%

6.

Systemy wykrywania i zapobiegania włamaniom (IPS)

55%

85%

7.

Narzędzia zapobiegania utracie danych (DLP)

52%

59%

8.

Narzędzia do zarządzania poprawkami oprogramowania

53%

74%

9.

Rozwiązania w zakresie zarządzania ochroną i wykrywaniem zagrożeń APT (advanced persistent threats)

49%

33%

10.

Narzędzia do wykrywania włamań

55%

70%

11.

Narzędzia do wykrywania złośliwego kodu

59%

70%

12.

Monitorowanie nieuprawnionego dostępu lub korzystania

55%

67%

13.

Narzędzia do skanowania podatności

54%

78%

14.

Narzędzia korelacji zdarzeń dotyczących bezpieczeństwa

55%

71%

15.

Plany zapewnienia ciągłości działania / działań odtworzeniowych

61%

81%

16.

Procedura reagowania na incydenty służąca do zgłaszania przypadków naruszenia zasad do podmiotów zewnętrznych, które mają do czynienia z danymi, oraz do obsługi takich zgłoszeń

52%

72%

Źródło: PwC, The Global State of Information Security, Survey 2015.

Jak wynika z przytoczonych wskaźników, na 16 badanych obszarów bezpieczeństwa informacji w 15 z nich polskie przedsiębiorstwa wdrożyły wyższe standardy niż organizacje światowe. W tym kontekście uprawniona wydaje się teza wyartykułowana przez PwC, zgodnie z którą największe polskie firmy wyróżniają się pozytywnie na tle średniej globalnej. Do przedstawionych wyników należy jednak podchodzić niezwykle ostrożnie, ponieważ niektóre z nich mogą budzić wątpliwości. Dotyczy to na przykład sytuacji, w której tylko 36% polskich przedsiębiorstw deklaruje, że zatrudnia członka zarządu/dyrektora ds. bezpieczeństwa informacji (CSO) odpowiedzialnego za program bezpieczeństwa (w Europie – 68%), a jednocześnie aż 57% oświadcza, iż w organizacji jest członek zarządu, który aktywnie dba o przekazywanie w całej organizacji wiadomości na temat znaczenia bezpieczeństwa informacji. Teoretycznie jest to możliwe, ale sceptycyzm wobec całego badania byłby zalecany i uzasadniony.

2.2. Główne przyczyny zagrożeń

Wirtualizacja biznesu, technologia chmury obliczeniowej, połączenie biznesu z mediami społecznościowymi, dynamiczny rozwój urządzeń mobilnych przetwarzających informacje, a nade wszystko zacierający się tradycyjny podział na pracę w biurze i w domu – wszystko to sprawia, że zmiany są szybkie i złożone, ale jednocześnie rosną zagrożenia. Wskazane czynniki w połączeniu z ciągle nasilającą się cyberprzestępczością powodują, że powiększa się luka między istniejącymi programami bezpieczeństwa informacji a nowymi wyzwaniami. Jest to refleksja płynąca z wielu prowadzonych badań.

Źródła zagrożeń można podzielić na cztery główne kategorie:

■ niedostosowanie wymogów bezpieczeństwa do specyfiki przedsiębiorstwa,

■ niska świadomość pracowników, niedostateczny poziom lub brak szkoleń,

■ brak spójnej, kompleksowej polityki bezpieczeństwa informacji,

■ nowe, zaawansowane technologie komunikacyjne.

Szczególną uwagę należy zwrócić na coś, cowe współczesnym biznesie wydaje się nieuchronne, a mianowicie na zalew nowoczesnych technologii, który sprawia, że wykorzystywanie systemów komputerowych jest coraz bardziej rozproszone. Ze scentralizowanych systemów i baz działalność biznesowa przenosi się do sieci rozproszonych, laptopów, iPadów itp. W rezultacie zapewnienie bezpieczeństwa tych systemów jest coraz trudniejsze, obniżają się bowiem parametry bezpieczeństwa, rośnie liczba łatwo dostępnych urządzeń końcowych i zwiększa się ryzyko kradzieży danych, włamań itp. Dynamiczny wzrost znaczenia internetu w komunikacji biznesowej zwiększa zagrożenie hakerstwem i cyberprzestępczością.

Należy mieć na uwadze, że żadna organizacja nie jest odporna na ataki, nie ma „superszczelnych” przedsiębiorstw. Dochodzi, i zawsze będzie dochodziło, do wycieków, ulotu czy ujawniania informacji wrażliwych. Według szacunków specjalistów poufne dane wyciekają z około 80% firm. Wywiadowcy gospodarczy (tym bardziej szpiedzy przemysłowi) kierują się jedną, kardynalną zasadą, wręcz aksjomatem: każde działanie, nawet najlepiej skrywane, musi pozostawić po sobie jakiś ślad. Przykład supertajnych informacji o więzieniu CIA w Starych Kiejkutach może posłużyć jako sztandarowy dowód na potwierdzenie tej tezy.

Całkowite zabezpieczenie informacji we współczesnym globalnym biznesie jest niemożliwe. Nie ma jednej zasady, według której można zmierzyć, jaka ilość wrażliwych informacji wycieka z przedsiębiorstwa każdego dnia.

Leonard Fuld, amerykański prekursor nowoczesnego wywiadu gospodarczego, zaprezentował pewien barometr, za pomocą którego można mierzyć potencjalny ulot informacji (tabela 1.6). Przyjął, że jeśli w 60-tysięcznej działającej globalnie korporacji 25% pracowników ma służbowe kontakty zewnętrzne, a każdy z tej grupy przynajmniej 5 razy dziennie kontaktuje się z otoczeniem przedsiębiorstwa (e-mail, telefon, faks, spotkanie) i tylko w 1% takich kontaktów pojawia się informacja wrażliwa, to dziennie mamy do czynienia z 750, a w skali roku ze 187 500 (przy 250 dniach roboczych) potencjalnie szkodliwymi rozmowami, w których może dojść do ujawnienia poufnych informacji.

Świadomość, iż nie ma perfekcyjnie szczelnych przedsiębiorstw, nie powinna jednak demobilizować i prowadzić do konkluzji, że w dziedzinie bezpieczeństwa wszelkie wysiłki są próżne. Otóż warto działać choćby po to, aby chronić ludzi i informacje, kształtować pożądane zachowania użytkowników informacji, administratorów systemu, zarządów i pionów bezpieczeństwa, minimalizować ryzyko lub niwelować poniesione szkody, wreszcie kreować określoną kulturę informacyjną, niezbędną w zarządzaniu współczesnym przedsiębiorstwem.

2.3. Prognoza bezpieczeństwa

Czego w zakresie bezpieczeństwa informacji można się spodziewać w przyszłości? Przede wszystkim tego, że działanie firm może być coraz bardziej zakłócone wskutek ataków wewnętrznych i zewnętrznych. Im szybciej organizacja będzie w stanie przywrócić normalny stan funkcjonowania, tym lepiej – uniknie kosztów.

Tabela 1.6. Formuła wycieków informacji L. Fulda

Założenie

Przykład

Uwagi

Zatrudnienie w firmie

60 tys.

Włączono cały personel – prawie każdy pracownik ma kontakty zewnętrzne (stałe lub sporadyczne)

25% zatrudnionych ma stałe kontakty zewnętrzne

15 tys.

Ostrożne oszacowanie grupy nawiązującej kontakty każdego dnia

Każdy z ww. grupy przeprowadza 5 rozmów dziennie (osobistych lub telefonicznych) z osobami spoza firmy

75 tys.

W każdym przypadku istnieje możliwość ujawnienia informacji wrażliwych. Wyłączono faks, e-mail, pocztę głosową

Tylko w 1% rozmów pojawia się informacja wrażliwa, chroniona przez firmę

750 szkodliwych rozmów dziennie

Część z nich wpływa natychmiast na firmę i jej operacje. Inne mogą być tykającą bombą zegarową, której wybuch jest opóźniony o tygodnie, miesiące, lata

Potencjalna liczba przecieków w roku (250 dni roboczych)

187 500 potencjalnych przecieków

Nie ma nakładających się rozmów, zawierających tę samą informację

Źródło: opracowanie własne.

Wzrosną zagrożenia prywatności. Przedsiębiorstwa muszą chronić dane osobowe pracowników i klientów. Jeśli ta prywatność zostanie naruszona, to zgodnie z przepisami dotyczącymi ochrony danych osobowych i prywatności należy się liczyć z działaniami prawnymi i sankcjami.

Przedsiębiorstwa mogą być narażone na bezpośrednie straty finansowe. Ochrona, w szczególności informacji handlowych oraz danych klientów i kart kredytowych, jest niezbędna. Utrata informacji handlowych (na przykład wskutek kradzieży), począwszy od planów biznesowych i umów z klientami, przez własność intelektualną, a na przemysłowym know-how kończąc, może spowodować długoterminowe szkody finansowe. Oszustwa komputerowe dokonywane przez pracowników, często z udziałem osób trzecich, będą miały natychmiastowe konsekwencje finansowe.

Najważniejsze zagrożenie to zniszczenie reputacji. Organizacje, które nie są w stanie chronić prywatności informacji dotyczących pracowników i klientów, stracą swoją korporacyjną wiarygodność, a ich relacje biznesowe staną pod znakiem zapytania – w rezultacie ciężko wypracowany wizerunek tych firm zostanie wystawiony na szwank. Przytoczony na wstępie przypadek IBM wydaje się bardzo wymowny.

Przedsiębiorstwa w coraz większym zakresie muszą się liczyć z zagrożeniem cyberprzestępczością. W bliższej i dalszej perspektywie cyberszpiegostwo przemysłowe będą dynamicznie rozwijały zarówno rządy, jak i korporacje – z kilku zasadniczych powodów. Po pierwsze, z przyczyn technologicznych – według badań Cisco Systems liczba urządzeń przenośnych, takich jak smartfony, laptopy itp., które mogą być połączone z internetem oraz innymi sieciami, wzrosła na świecie z około 14 mld w 2012 roku do 28 mld w 2015 roku. Spowoduje to proliferację licznych systemów operacyjnych i urządzeń końcowych, które służby specjalne lub skorumpowane osoby wewnątrz organizacji mogą wykorzystywać do zdobycia wrażliwych informacji. Po drugie, zmienia się kultura informacyjna pracowników. Coraz większy nacisk kładzie się na dostęp do informacji i na dzielenie się nimi (need to share) niż na prywatność i ochronę danych. W szerszym zakresie ujawnia się dążenie pracowników do zacierania różnic między wykonywaniem obowiązków w domu i w tradycyjnym miejscu pracy – będą oczekiwać swobodnego dostępu do danych z każdej lokalizacji. Technologie umożliwiają łączenie się przez internet nawzajem ze sobą i z firmą, dlatego wzrasta ich elastyczność i korporacyjna wydajność, ale zwiększa się też ryzyko kradzieży.

Wprawdzie wywiady, podobnie jak korporacje, są zainteresowane wszystkimi aspektami gospodarczymi, ale przede wszystkim skupią się na technologiach informacyjnych i komunikacyjnych, stanowiących krwiobieg gospodarki globalnej. Dla cyberszpiegów istotne będą informacje gospodarcze dotyczące zaopatrzenia w ograniczone zasoby naturalne oraz ich dostaw. Tradycyjnie w centrum zainteresowania pozostaną technologie wojskowe oraz cywilne technologie podwójnego zastosowania w sektorach, które będą się rozwijać najszybciej – takich jak czysta energia, opieka zdrowotna, farmacja.

Niebezpieczeństwo to nabiera nowego znaczenia w czasach, gdy nowoczesne technologie odgrywają coraz większą rolę w środowisku biznesowym. Smartfony, tablety i media społecznościowe oferują organizacjom wiele atrakcyjnych rozwiązań, ale mogą być również puszką Pandory, kryjącą niebezpieczeństwa. Urządzenia elektroniczne często zawierają poufne dane oraz informacje, które łatwo przenosić i równie łatwo stracić, jeśli nie są odpowiednio zabezpieczone. Ponadto działania biznesowe i transakcje coraz częściej są przenoszone ze świata rzeczywistego do wirtualnego, co łączy się z nowymi rodzajami ryzyka. Technologie rozwijają się szybko, podobnie jak umiejętności sprawców nadużyć, podczas gdy wiele organizacji zostaje daleko w tyle. Dlatego jest bardzo ważne, aby problemy informatyczne i kwestie związane z cyberbezpieczeństwem miały zagwarantowane stałe miejsce w rejestrze ryzyka przedsiębiorstwa.

Firmy gotowe zrozumieć i określić ryzyko i szanse, które niesie ze sobą świat wirtualny, będą tymi, które uzyskają przewagę konkurencyjną w dzisiejszym napędzanym technologią świecie. Przykład idący z góry, ze strony kierownictwa przedsiębiorstwa, jest kluczowym atutem w walce z zagrożeniami i przestępczością gospodarczą.

2.4. Jakie działania powinny podejmować przedsiębiorstwa?

W tym miejscu nie podamy szczegółów, na nich bowiem skupimy się, przedstawiając kwestie dotyczące ochrony tajemnicy przedsiębiorstwa, ale warto zasygnalizować pewne rozwiązania systemowe, a mianowicie:

1. Przedsiębiorstwa powinny wiązać bezpieczeństwo informacji ze swoją strategią i celami biznesowymi. Polityka bezpieczeństwa musi mieć charakter kompleksowy, obejmować całą organizację, angażować wszystkich pracowników.

2. Należy rzetelnie zdiagnozować krajobraz zagrożeń i opracować adekwatną politykę ochrony, koncentrując się na tym, co najważniejsze, a także nieustannie przewidywać przyszłe zagrożenia, tak aby podejmowane działania nie były doraźne.

3. Trzeba zreformować lub zbudować od podstaw systemy bezpieczeństwa informacji, tam gdzie to niezbędne.

4. Konieczne są ustanowienia racjonalnego dostępu do informacji poufnych i systematyczna kontrola tego dostępu.

5. Należy intensywnie korzystać z nowych technologii mimo ryzyka, które wiąże się z ich rozwojem, a także sporządzić bilans dotyczący ich możliwości i potencjalnych strat. W ramach polityki otwartości (need to share) trzeba wykorzystywać zalety mediów społecznościowych, cloud computingu, urządzeń mobilnych, ale również mieć świadomość łączących się z tym niebezpieczeństw.

6. Należy zwiększyć nakłady na bezpieczeństwo informacji – taki krok przewidywało tylko 39% badanych przedsiębiorstw, co w erze rosnących zagrożeń wydaje się niewystarczające.

Skuteczna polityka w zakresie bezpieczeństwa informacji nie wymaga skomplikowanych rozwiązań technologicznych, ale przywództwa i zaangażowania, zdolności i chęci do działania. Bezpieczeństwo informacji powinno się stać priorytetem na poziomie zarządu, który tej problematyce winien regularnie poświęcać uwagę.

Priorytety bezpieczeństwa polskich przedsiębiorstw (według badań PwC 2014)

■ Monitorowanie nieuprawnionego dostępu lub użycia

■ Szyfrowanie smartfonów (np. iPhone, BlackBerry, urządzenia z systemem Android)

■ Strategia bezpieczeństwa dotycząca korzystania przez pracowników z własnych urządzeń na terenie przedsiębiorstwa

■ Strategia bezpieczeństwa mediów społecznościowych

■ Stworzenie procedur reagowania na incydenty dotycząca zgłaszania przypadków naruszenia zasad do podmiotów zewnętrznych, które mają do czynienia z danymi, oraz obsługi takich zgłoszeń

■ Profilowanie i monitorowanie zachowań

■ Program szkoleń z zakresu wiedzy o bezpieczeństwie

■ Dokonanie oceny ryzyka w odniesieniu do wewnętrznych i zewnętrznych zagrożeń dla prywatności, bezpieczeństwa, poufności oraz integralności ewidencji papierowej i elektronicznej zawierającej dane osobowe (np. przez audyt wewnętrzny)

■ Standardy/procedury dotyczące bezpieczeństwa urządzeń przenośnych

■ Strategia bezpieczeństwa chmury obliczeniowej

■ Systemy wykrywania i zapobiegania włamaniom (IPS)

■ Wykrywanie złośliwego oprogramowania w urządzeniach mobilnych