Wrażliwość biznesu na dane wrażliwe

Istnieje w języku polskim, nie do końca chyba udana, kalka językowa „dane wrażliwe” (z ang. sensitive data), której w języku branżowym używa się do określenia danych o szczególnym znaczeniu dla bezpieczeństwa ich właścicieli i/lub ich biznesu. Najczęściej chodzi tutaj przede wszystkim o dane osobowe, bankowe, medyczne, ubezpieczeniowe czy dotyczące kart płatniczych.

W przypadku biznesu do danych tego typu należałoby także zakwalifikować wszelkie poufne informacje wewnętrzne dotyczące np. produkcji (receptury, projekty, procesy wytwarzania itp.) czy świadczonych usług (dane powierzone przez klientów i dane o samych klientach). Można śmiało powiedzieć, że każdy z nas jest posiadaczem danych wrażliwych, a zdecydowana większość z nas codziennie przetwarza dane wrażliwe innych osób lub podmiotów. Warto zastanowić się zatem może przez chwilę, skąd ta „wrażliwość” danych się bierze.

W mojej opinii możemy odczytywać to dwojako. Przede wszystkim dane tego typu opisują takie cechy ich posiadaczy, z którymi nie chcieliby oni dzielić się publicznie. Zostają one powierzone tylko zaufanym stronom w celu przeprowadzenia konkretnego działania, przy czym strona przetwarzająca takie dane zobowiązana jest do zachowania ich w tajemnicy i nie wykorzystywania ich do innych celów niż zostało to uzgodnione. Można zatem przyjąć, że owa „wrażliwość” jest związana bezpośrednio z wrażliwością samego posiadacza danych na możliwość ich niekontrolowanego upublicznienia.

W przypadku niektórych podmiotów, np. kancelarii prawnych czy firm medycznych, ujawnienie danych o klientach i ich sprawach może być na tyle „wrażliwe” dla działania firmy, że ewentualna utrata wizerunku w następstwie takiego upublicznienia może skutkować nawet upadłością.


Wiedzą o tym świetnie przestępcy i coraz częściej próbują na różne sposoby wykraść tego typu dane, aby użyć ich później z reguły do szantażu i wyłudzenia dużych pieniędzy. I stąd się bierze drugie znaczenie „wrażliwości” danych – szczególne narażenie na ataki. Domyślam się, że o większości z nich w ogóle nie wiemy, bo firmy nie będą afiszowały się swoimi problemami i potajemnymi rozliczeniami z atakującymi. Sytuacja jest bardzo podobna do negocjacji z terrorystami warunków uwolnienia zakładników – z reguły kończą się one zapłaceniem okupu, do czego żadna ze stron oficjalnie się nie przyznaje. Pomimo to coraz częściej docierają do nas informacje o skutecznych atakach hakerskich, a liczby wykradzionych danych, nawet z pojedynczych ataków, idą w setki tysięcy a nawet miliony.

A jak to się ma do „wrażliwości”  więszkości firm na tego typu zagrożenia? Niestety, nie jesteśmy na tym polu mistrzami i wiele wciąż pozostaje do zrobienia. Przede wszystkim brakuje wciąż odpowiedniej świadomości ryzyk biznesowych związanych z zagrożeniami wyciekiem danych wrażliwych. Typowym zachowaniem jest twierdzenie, że „czemu akurat my mielibyśmy być celem ataku, skoro jest tyle większych i poważniejszych firm”. I to jest podstawowy błąd! Hakerzy doskonale obserwują rynek i możliwości finansowe poszczególnych firm. I z pewnością znajdą się wśród nich tacy, dla których nawet najmniejsza firma może stać się godnym przeciwnikiem – jeżeli nawet nie dla pieniędzy, to dla samej „sławy” w środowisku. Trzeba też pamiętać, że wiele ataków realizowanych jest w zasadzie automatycznie: specjalnie stworzone przez hakerów narzędzia monitorują sieć i  wyłapują znane ogólnie podatności, a w momencie wykrycia luki w zabezpieczeniach automatycznie pobierają zawartość baz danych bez weryfikacji, do kogo taka baza należy. Ocena łupu jest dokonywana dopiero później.

Jak zatem skutecznie się bronić? Tradycyjne systemy bezpieczeństwa (firewall, systemy antywirusowe, systemy IPS/IDS) są bardzo ważne, ale nie zagwarantują nam całkowitej ochrony – zwłaszcza przy obserwowanym ostatnio dużym nasileniu ataków socjotechnicznych. To sami ludzie – zarząd, pracownicy – stanowią obecnie łatwiejszy cel ataku, a po przejęciu ich uprawnień hakerzy mogą swobodnie dostać się do przetwarzanych w firmie danych. Aby zatem myśleć o utrzymaniu odpowiedniego poziomu bezpieczeństwa, należy brać pod uwagę oba czynniki: techniczny i ludzki.

A nie ma lepszej metody, niż regularne przeprowadzanie stosownych testów i audytów. Pozwolą one wykazać faktyczny (a nie np. opisany jedynie w dokumentacji) stan bezpieczeństwa infrastruktury IT i realną możliwość utraty danych na skutek ataków zewnętrznych i wewnętrznych (np. wskutek działania wirusa). Dzięki specjalnym audytom socjotechnicznym można zaś skutecznie podnosić świadomość bezpieczeństwa danych wśród pracowników, budować umiejętność rozpoznawania przez nich różnych prób ataku oraz umiejętnego na nie reagowania. W ten sposób można najszybciej i najefektywniej zbudować odpowiednią wrażliwość na konieczność zachowania bezpieczeństwa danych wrażliwych przetwarzanych przez firmę.

 

    Adam Wódz, CISSP QSA Cybercom Poland