Z Doktorem Markiem Ciecierskim, ekspertem w zakresie wywiadu gospodarczego i bezpieczeństwa informacji – rozmawiała Anna Ruszczyk.
W jaki sposób firmy dbają dziś o bezpieczeństwo w biznesie?
Współczesne firmy więcej uwagi poświęcają kwestiom bezpieczeństwa niż to miało miejsce jeszcze kilka czy kilkanaście lat temu, jakkolwiek stan bezpieczeństwa informacyjnego nadal pozostawia dużo do życzenia, a podejmowane działania są zazwyczaj reaktywne, a rzadziej wyprzedzające. Zagrożenia wciąż zaskakują przedsiębiorstwa swoją nieprzewidywalnością, złożonością, dotkliwością i odłożonymi w czasie skutkami. Mam tu na myśli przede wszystkim cyberzagrożenia. Oczywiście nie sposób wszystkie zagrożenia przewidzieć, ale przed dużą częścią można się ustrzec.
Nawet najbogatsze firmy nie doceniają bezpieczeństwa informacji. Niektóre wskaźniki biją na alarm. Według globalnego, 15-ego raportu bezpieczeństwa informacji firmy Ernst&Young („Fighting to close the Gap”) 31% badanych firm doświadczyło w ostatnich dwóch latach incydentów naruszających ich bezpieczeństwo, ale aż 63% nie ma wdrożonej systemowej polityki bezpieczeństwa. Jedynie 16% deklarowało, iż ich polityka bezpieczeństwa spełnia wszelkie wymogi i oczekiwania. Prawie jedna trzecia firm postrzega swój system bezpieczeństwa jako zagrożony lub bezbronny.
Od jakich czynników uzależniona jest polityka bezpieczeństwa informacji?
Oczywiście polityka bezpieczeństwa informacji różni się w poszczególnych organizacjach i zależy od wielu czynników: rozmiarów, poziomu wrażliwości przetwarzanych informacji, miejsca na rynku, ilości i rodzaju informacji oraz wykorzystywanych systemów informatycznych. O ile można mówić o pewnej generalnej poprawie w sferze bezpieczeństwa informacji, to jednak z zastrzeżeniem, iż przedsiębiorstwa przegrywają wyścig z rosnącymi zagrożeniami generowanymi przez nowoczesne technologie.
Jakie są podstawowe źródła zagrożeń na które narażone są firmy?
Źródła zagrożeń współczesnych firm można ująć w cztery główne kategorie: niedostosowanie wymogów bezpieczeństwa do specyfiki przedsiębiorstwa, niska świadomość pracowników, niedostateczny poziom lub brak szkoleń; brak spójnej, kompleksowej polityki bezpieczeństwa informacji; nowe, zaawansowane technologie komunikacyjne.
W jaki sposób rozwój Internetu w komunikacji biznesowej zwiększa zagrożenia związane z cyberprzestępczością?
Szczególnie zwrócić należy uwagę na coś, co jawi się, jako nieuchronne we współczesnym biznesie, a mianowicie zalew nowoczesnych technologii, który sprawia, iż wykorzystywanie systemów komputerowych jest coraz bardziej rozproszone. Ze scentralizowanych systemów i baz działalność biznesowa przenosi się na sieci rozproszone, laptopy, ipady itp. To sprawia, iż zapewnienie bezpieczeństwa tych systemów jest coraz trudniejsze, bowiem obniżają się parametry bezpieczeństwa, rośnie liczba łatwo dostępnych urządzeń końcowych, a przez to wzrasta ryzyko kradzieży danych, włamań.
Z Państwa doświadczenia, jaka jest świadomości firm odnośnie ich stanu bezpieczeństwa?
Z punktu widzenia polskiej rzeczywistości, surową ocenę stanu bezpieczeństwa w firmach potwierdzają codzienne doświadczenia spółki Profesjonalny Wywiad Gospodarczy Skarbiec wyniesione z licznych kontaktów partnerskich, klienckich, szkoleń itp. Indagowani przedsiębiorcy nie potrafią często odpowiedzieć na proste kwestie: Jaki rodzaj informacji chronią, co stanowi u nich tajemnicę przedsiębiorstwa, czy wypracowali spójną politykę bezpieczeństwa informacji? Są to wciąż pytania kłopotliwe. Jednak na pewien paradoks zakrawa fakt, iż zewnętrzne, obiektywne oceny stanu bezpieczeństwa w polskich przedsiębiorstwach kłócą się z konkluzjami wynikającymi z niedawnych badań ankietowych PricewaterCoopers pt. „The Global State of Information Security Survey ® 2014”, zwłaszcza z raportu dotyczącego badań przeprowadzonych wśród polskich przedsiębiorców („Bezpieczne informacje – bezpieczna przyszłość. Kluczowe obserwacje z wyników ankiety „Globalny stan bezpieczeństwa informacji 2014”).
Jakie wnioski możemy wyciągnąć z przeprowadzonych badań?
Dowiadujemy się, iż stan bezpieczeństwa polskich przedsiębiorstw – w opinii samych badanych – jest więcej niż pozytywny. 81% przedsiębiorstw deklarowało, iż strategia bezpieczeństwa informacji jest dostosowana do specyficznych potrzeb działalności. Ponad 80% respondentów twierdzi, że działania organizacji w zakresie bezpieczeństwa informacji są skuteczne. W 78% przedsiębiorstwach ustalono minimalne wymogi/standardy bezpieczeństwa dla partnerów zewnętrznych (klienci, dostawcy), zaś w 75% przedsiębiorstwach istnieją scentralizowane systemy zarządzania bezpieczeństwem informacji. Ponad 64% polskich respondentów twierdzi, że wydatki spółki na bezpieczeństwo są dobrze dostosowane do jej celów biznesowych, a około 40% respondentów określa siebie, jako przodowników (tych, którzy zadeklarowali, że mają skuteczną strategię i aktywnie wcielają ją w życie). Jednak do przedstawionych wyników należy podchodzić niezwykle ostrożnie, sceptycyzm wobec całego badania byłby zalecany i uzasadniony.
Czy wiadomo, na podstawie badań, jakie są priorytety przedsiębiorców w zakresie bezpieczeństwa?
W ramach przytoczonego badania prowadzonego przez PwC polscy przedsiębiorcy wskazywali, iż ich najbliższe priorytety w zakresie bezpieczeństwa to: monitorowanie nieuprawnionego dostępu lub użycia, szyfrowanie urządzeń przekazujących informacje, strategie bezpieczeństwa dotyczące korzystania przez pracowników z własnych urządzeń na terenie przedsiębiorstwa, wdrażanie procedur reagowania na incydenty, profilowanie i monitorowanie zachowań personelu, wdrażanie programów szkoleń z zakresu wiedzy o bezpieczeństwie.
W jaki sposób zmieniło się na przestrzeni ostatnich kilku, kilkunastu lat podejście firm do ochrony informacji?
Niewątpliwe w ostatnich latach firmy poczyniły duże postępy w obszarach bezpieczeństwa fizycznego oraz teleinformatycznego. Utrudniony jest dostęp fizyczny do informacji wrażliwych. Coraz lepiej zabezpieczone są dane na komputerach. Jednak w dalszym ciągu brak jest systemowych rozwiązań bezpieczeństwa, zwłaszcza bezpieczeństwa osobowego, które jest „piętą achillesową” większości przedsiębiorstw.
Dlaczego bezpieczeństwo osobowe jest wciąż „piętą achillesową”?
Bezpieczeństwo osobowe w tym przypadku rozumieć należy jako poziom zagrożenia płynący z wewnątrz organizacji, ze strony pracowników. Człowiek jest najsłabszym ogniwem systemów bezpieczeństwa. Z badań prowadzonych przez Ernst & Young wynika, że prawie 90% wszystkich nadużyć popełnianych na szkodę przedsiębiorstw dokonywanych jest przez osoby z wewnątrz organizacji lub z ich udziałem. Statystyczna organizacja traci średnio 5% swoich dochodów rocznie w wyniku oszustw i nadużyć gospodarczych, które z kolei są głównie dokonywane przez pracowników tej organizacji.
Co powoduje, że przykładny i oddany pracownik dopuszcza się nadużyć? Wyjaśnia to teoria trójkąta nadużyć. Twórcą koncepcji jest Donald E. Cressey, który przeprowadził rozmowy z około 200 osobami osadzonymi w więzieniach za nadużycia popełnione w miejscu pracy. Zdaniem Cressey’a, są trzy główne czynniki, których łączne pojawienie się może przyczynić się do wystąpienia nadużyć: motyw (czyli presja), okazja, uzasadnienie (racjonalizacja). Oczywiście te reguły dotyczą ludzi, którzy nie przychodzili do pracy od razu z nastawieniem „będę kradł”. Istnieje grupa osób, której do popełnienia przestępstwa wystarczy okazja.
Piętą achillesową bezpieczeństwa informacyjnego w przedsiębiorstwach jest brak lub nieadekwatność prowadzonych szkoleń w stosunku do zagrożeń. Tylko w 56% badanych przedsiębiorstwach zadeklarowano, iż rocznie prowadzi się od 1 do 10 szkoleń (ćwiczeń), będących wszakże reakcją na przypadki naruszeń bezpieczeństwa lub penetracji zasobów informacyjnych. W 19% firm nie prowadzi się żadnych szkoleń lub ćwiczeń.
Jakie informacje przedsiębiorców powinny być chronione, jakie dane są newralgiczne?
Na gruncie polskiego prawa nie ma jednolitego systemu ochrony informacji. Problematyka ochrony informacji jest rozproszona w bardzo wielu aktach prawnych zaliczanych do różnorodnych gałęzi prawa. W Polsce jest blisko 80 rodzajów informacji, które podlegają ochronie prawnej. Bezpieczeństwo informacji prawnie chronionych musi być również uwzględniane w praktyce działalności przedsiębiorstw, które – jak w soczewce – skupiają wszelkie rodzaje informacji.
Generalnie można uznać, iż chronione powinny być te informacje, którym pracodawca nadje rangę tajemnicy przedsiębiorstwa.
Co możemy zaliczyć do informacji prawnie chronionych?
W Polsce do informacji prawnie chronionych według kryterium genezy kształtowania się tej ochrony można zaliczyć następujące cztery grupy: Informacje związane z prywatnością osób fizycznych, niekomercyjne; informacje o charakterze gospodarczym, komercyjne; Informacje stanowiące tajemnice zawodowe; Informacje posiadające znaczenie dla interesów politycznych oraz bezpieczeństwa i obronności państwa.
W jaki sposób chronione są informacje o charakterze gospodarczym?
Jeśli chodzi o informacje o charakterze gospodarczym to ich ochrona jest gwarantowana możliwością objęcia przez przedsiębiorcę ochroną prawną informacji komercyjnych poprzez ustanowienie w swojej firmie tajemnicy przedsiębiorstwa oraz obowiązek zachowania przez pracowników w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Ponadto istnieje możliwość zastrzeżenia poufności informacji ujawnionych drugiej stronie w trakcie negocjacji prowadzonych przed zawarciem umowy. W Polsce istnieje obowiązek zachowania w tajemnicy informacji uzyskanych od przedsiębiorców przez organy władzy publicznej np. tajemnica skarbowa, tajemnica statystyczna, tajemnica zamówień publicznych, tajemnica kontroli państwowej.
Jakie są inne możliwości ochrony informacji gospodarczych?
Istnieje możliwość wystąpienia o wyłączenie jawności postępowania procesowego, jeżeli miałyby być ujawnione okoliczności stanowiące tajemnicę produkcyjną lub handlową strony. Ponadto członkowie władz spółek handlowych mają obowiązek powstrzymywania się od działania na ich szkodę. W Polsce obowiązują również tajemnice zawodowe, tajemnica archiwów, patenty i prawa autorskie, tajemnice spółek występujących w obrocie publicznym. Tak więc w sferze gospodarczej prawnie uregulowana jest ochrona tajemnicy przedsiębiorstwa, tajemnica spółek handlowych, tajemnica negocjacji, prawa własności przemysłowej (patenty). Ochrona tajemnic komercyjnych jest gwarantowana w kodeksie postępowania cywilnego poprzez możliwość wyłączenia jawności rozprawy, jeżeli publiczne rozpoznanie sprawy może doprowadzić do ujawnienie informacji stanowiących tajemnicę przedsiębiorstwa lub inne tajemnice prawnie chronione.
Jakie mogą być finansowe, prawne, biznesowe skutki wycieku informacji z przedsiębiorstwa?
Jak już wspomniano we wcześniejszych rozważaniach nie ma superszczelnego przedsiębiorstwa. Zawsze mamy do czynienia ze zjawiskiem wycieków, ulotu czy też ujawnienia informacji wrażliwych. Poufne dane wyciekają z około 80 % firm. Nawet takie potęgi jak IBM, Hewlett Packard czy wiele innych nie ustrzegły się utraty tajemnic handlowych w codziennym procesie kupna i sprzedaży.
Skutki wycieku mogą być opłakane, najbardziej bolesne są finansowe. Według raportu firm B2B International i Kaspersky Lab poważny incydent bezpieczeństwa może kosztować wielkie przedsiębiorstwo średnio 649.000 USD, a dla średnich i małych przedsiębiorstw to strata w wysokości 50.000 USD. Skuteczny atak na wielką korporację może kosztować nawet 2.4 mln USD, licząc straty bezpośrednie i koszty dodatkowe. Małe i średnie przedsiębiorstwa mogą w wyniku skutecznie przeprowadzonego ataku stracić ko. 92.000 USD, a więc niemal dwukrotnie więcej niż wynosi średnia kalkulacja strat dla ataku.
Ale o jeszcze jednym skutku należy pamiętać, bodaj najpoważniejszym – utracie reputacji.
W jaki sposób mogą być przekazane świadomie lub nieświadomie informacje konkurencyjnej firmie?
Do źródeł wewnętrznych, które są najbardziej podatne na przekazanie – świadomie bądź nieświadomie informacji konkurencji można zaliczyć: osoby wcześniej zatrudnione u konkurenta, zespoły sprzedawców, członków stowarzyszeń zawodowych, członków organizacji powiązanych z sektorem, delegatów na zjazdy stowarzyszeń, uczestników konferencji, seminariów, wystaw.
Co jest szczególnym zagrożeniem dla bezpieczeństwa informacji?
Poważnym zagrożeniem dla bezpieczeństwa informacji są podróże pracowników przedsiębiorstwa. Podróżujący menadżer to codzienność w globalnej gospodarce, bez której nie ma mowy o współpracy i wspólnych przedsięwzięciach. Osobiste spotkania z partnerami finalizują alianse strategiczne, fuzje, sprzedaż, wspólne inwestycje. Należy zdawać sobie sprawę, iż każda osoba z szeroko rozumianego zarządu korporacji, odpowiedzialna za ogromne środki, fundusze czy kadry, to mobilny zasób niezwykle cennych informacji, do których konkurencja chce i robi wszystko, aby dotrzeć. Jak podaje w swojej głośnej książce E. Javers w typowym przypadku inwigilacji, której przedmiotem jest menadżer wysokiego szczebla, firma wywiadowcza prowadząca obserwację szczegółowo dokumentuje każde miejsce, do którego trafił, czas, jaki spędził, wykonuje zdjęcia jego i wszystkich osób, z którymi się spotkał. Pomimo, iż gros kwestii biznesowych rozstrzyga się współcześnie przez telefony i maile, które nie zawsze łatwo monitorować, to w sytuacjach gdzie w grę wchodzą wielkie pieniądze, menadżerowie spotykają się bezpośrednio. Wyruszają więc w podróż, w trakcie, której może dojść do ujawnienia (wycieku) ważnych tajemnic przedsiębiorstwa.
Jakie zachowania mogą prowokować do ujawnienia ważnych tajemnic przedsiębiorstwa?
Prowadzenie otwartych, biznesowych rozmów samolotach i innych środkach transportu, a także prowadzenie poważnych rozmów biznesowych w przypadkowych restauracjach. Równie niebezpieczne jest przetwarzanie wrażliwych informacji na laptopach w czasie podróży oraz pozostawianie materiałów służbowych w hotelach. Nie jest wskazana nadmierna otwartość pracowników firm na kongresach, konferencjach, salonach wystawowych, targach. Istnieje ryzyko sprowokowania sytuacji, które mogą stać się zaczynem kompromitacji i szantażu. Świadomość tego rodzaju praktyk korporacyjnych, zwłaszcza u firm konkurencyjnych, zawsze powinna towarzyszyć podróżującemu menadżerowi, a jej wpajanie powinno być abecadłem działania pionów bezpieczeństwa.
Jakie jest główne źródło wycieku poufnych informacji?
Według przytaczanego to już raportu bezpieczeństwa IT autorstwa firm B2B International i Kaspersky Lab (Global Corporate IT Security Risks 2013 Survey) to pracownicy stanowią główne źródło wycieków poufnych informacji w przedsiębiorstwach. Pomimo, iż 39% incydentów wynikało z luk w zabezpieczeniach oprogramowania wykorzystywanych przez pracowników, to jednak skala innych incydentów, związanych z błędami personelu jest równie wysoka. 32% badanych firm stwierdziło przecieki, które miały miejsce na skutek błędów pracowników. 30% firm zgłosiło fakt utraty lub kradzieży urządzeń mobilnych z winy pracownika. Świadome przecieki zostały popełnione przez pracowników w 19% firmach biorących udział w badaniu. 18% przedsiębiorstw odnotowało przypadki utraty informacji wskutek niewłaściwego wykorzystania urządzeń mobilnych (telefony, e-maile, komputery, tablety) i dokumentów papierowych. 7% badanych wykazało utratę informacji szczególnie krytycznych wskutek świadomych działań pracowników. Wycieki informacji z urządzeń mobilnych – celowe lub przypadkowe – kreują główne wewnętrzne zagrożenie, przed którym staną przedsiębiorstwa w przyszłości.
Profesjonalny Wywiad Gospodarczy Skarbiec Sp.zo.o.
Dr Marek Ciecierski – ekspert w zakresie wywiadu gospodarczego i bezpieczeństwa informacji. Wykłada w kilku uczelniach warszawskich. Doktorat w zakresie nauk politycznych uzyskał w 1997 roku na Wydziale Dziennikarstwa i Nauk Politycznych Uniwersytetu Warszawskiego. Ponad 20 lat pracował w administracji państwowej na stanowiskach związanych z bezpieczeństwem międzynarodowym, ekonomicznym i informacyjnym. W pracy naukowo-badawczej specjalizuje się w problematyce bezpieczeństwa informacyjnego i wywiadu gospodarczego. Autor kilkudziesięciu prac i artykułów z tego obszaru, opublikował m.in. prace: „Wywiad gospodarczy w walce konkurencyjnej przedsiębiorstw” (2007), „Wywiad biznesowy w korporacjach transnarodowych. Teoria i praktyka” (2009).