Jak portale społecznościowe mogą zagrozić interesom pracodawców

Rosnąca popularność internetu oraz przyrost informacji, którymi dzielą się w sieci jej użytkownicy, stanowi dla biznesu ogromne wyzwanie i zagrożenie, z którego jeszcze nie wszyscy zdają sobie sprawę. Niedawne badania Deloitte i Gazeta.pl przeprowadzone w Polsce wśród przedsiębiorców i pracowników na temat bezpieczeństwa informacji w internecie pokazały, że w czasach kryzysu w firmach zabiega się przede wszystkim o oszczędności. Znikomy jest wobec tego wzrost budżetów przeznaczanych na ochronę danych w obszarze IT. W ocenie badających wynika to z tego, że oszacowanie korzyści, jakie niosą ze sobą tego rodzaju inwestycje, jest niezwykle trudne. Nie jest też łatwo ocenić straty spowodowane zmniejszeniem wydatków na te cele.

Szacunek wspomnianych korzyści i strat wymaga analiz i pewnego nakładu pracy. Dlatego polskie firmy zwykle rezygnują z próby oceny opłacalności tego typu inwestycji. Jednocześnie dział odpowiedzialny za zapewnienie bezpieczeństwa jest postrzegany jako ośrodek kosztów, a korzyści z jego działania nie są do końca znane. Ponad połowa badanych uznała pion bezpieczeństwa danych za średnio efektywny pod względem zaspokajania potrzeb i oczekiwań firmy. Jednocześnie 60 proc. respondentów zauważyło, że w ciągu ostatniego roku zmniejszyła się obsada pionu bezpieczeństwa. W tym samym czasie deklarowane wzrosty budżetów przeznaczonych na ochronę danych były na bardzo niskim poziomie, co po uwzględnieniu inflacji oznacza ich spadek, przy czym środki na te cele są wciąż częścią budżetów zespołów IT, co utrudnia ich monitorowanie i ocenę realnych korzyści. Jedynie 16,6 proc. ankietowanych potrafiło wskazać kwotę, jaką przeznaczają na ochronę informacji w przeliczeniu na jednego pracownika. Kształtowały się one w przedziale 10-1000 zł. Z kolei 20 proc. badanych przedsiębiorców i ekspertów do spraw bezpieczeństwa IT podało, że inicjatywy z zakresu bezpieczeństwa działalności firmy są dobrze skoordynowane z inicjatywami dotyczącymi bezpieczeństwa danych. O tym, że są one skoordynowane w pewnej mierze stwierdziło natomiast ponad 50 proc. ankietowanych, zaś 10 proc., że wcale nie są skoordynowane.

W opinii badających takie oszczędności biorą się również ze stereotypowego myślenia o bezpieczeństwie informacji widzianym przez pryzmat ochrony informacji niejawnych czy ustawowego obowiązku ochrony danych osobowych. Dlatego nie są analizowane rzeczywiste zagrożenia i rezultaty utraty informacji w związku z rozwojem takich dróg przepływu danych jak chociażby wszechobecny internet. 1/3 respondentów wykazała, że przedstawiciele biznesu nie są zaangażowani w budowę strategii ochrony danych.

Z badań wynika jasno, że ochrona informacji jest traktowana jako zadanie zespołów IT, a nie całego przedsiębiorstwa.

Ponadto nie dostrzega się ryzyka związanego z czynnikiem ludzkim, czyli wynikającego z zachowań pracowników i braku ich świadomości, że jako internauci stają się również źródłem danych dla ukrytych w sieci łowców informacji o zatrudniających ich spółkach, instytucjach, organizacjach. W konsekwencji, jeśli jakaś firma stwierdzi, że poniosła straty z powodu działań konkurencji, przede wszystkim tłumaczy to czynnikami zewnętrznymi, czyli wykorzystaniem posiadanych o niej informacji przez jej klientów - np. banki, instytucje finansowe, dostawców usług internetowych.

Wyniki badań potwierdzają to, co doskonale już wiadomo powszechnie. Mianowicie, że internet ma coraz szersze zastosowanie w życiu prywatnym. W parze z tym jednak nie idzie świadomość, jak jest to zarazem groźne narzędzie - zarówno dla bezpieczeństwa informacji o charakterze osobistym, jak i służbowym. Autorzy raportu omawianych tu badań, specjalizujący się w zarządzaniu ryzykiem, podkreślają, że takie ryzyko niesie korzystanie z komputera służbowego, nawet w celach pozasłużbowych. Analiza badań wskazuje przy tym, że zagrożenia wiążą się także z korzystaniem z prywatnego sprzętu. Rzecz bowiem w tym, z kim, gdzie i jakimi informacjami dzielą się internauci.

Według badania większość przedsiębiorców za zagrożenie uważa portale społecznościowe. Żeby im przeciwdziałać, najchętniej stosują blokady dostępu do tych portali. Ale to tylko pozornie rozwiązuje problem. Skupienie się wyłącznie na uniemożliwieniu korzystania z serwisów społecznościowych w czasie pracy to za mało.

Jedynie część pracowników przyznaje się do korzystania z takich portali w czasie pracy (w przypadku Naszej-Klasy poniżej 20 proc., a GoldenLine nawet mniej niż 5 proc.). Aktywna i liczna obecność w tych serwisach przypada raczej na godziny po powrocie do domu. I to jest dopiero pora niekontrolowanych zagrożeń dla pracodawców. Informacje niejawne związane z wykonywaną pracą mogą równie dobrze być ujawniane właśnie wtedy, a więc poza czasem pracy.

Powszechność portali społecznościowych sprawia, że coraz więcej ludzi umieszcza tam dużą ilość informacji zarówno o swoim życiu prywatnym, jak również służbowym. Często są to informacje, które w sposób bezpośredni bądź pośredni ujawniają dane wrażliwe, które powinny podlegać ochronie. Tymczasem 40 proc. respondentów uważa, że informacje o fizycznej lokalizacji, w tym planowanych podróżach pracowników, nie powinny podlegać ochronie, a kolejne 20 proc. respondentów nie ma na ten temat zdania. Równocześnie 47 proc. respondentów uważa, że informacje o kontaktach biznesowych (prezentowanych np. na portalach typu LinkedIn, GoldenLine) nie powinny podlegać ochronie, a 20 proc. ankietowanych nie ma zdania. Tymczasem jak podkreślają autorzy raportu, funkcjonalności takie jak TripIT (czyli dane o planowanych podróżach służbowych) mogą stanowić realne zagrożenie dla bezpieczeństwa spółki.

Badani pracownicy przyznają, że dzielą się w internecie informacjami ze swojego życia służbowego. Nie jest to co prawda przytłaczająca większość respondentów, ale jednak. Kilka procent ankietowanych odpowiedziało twierdząco na pytanie, czy zamieścili komentarze na temat swojego pracodawcy na portalu społecznościowym. Prawie 35 proc. stwierdziło, że mają świadomość możliwości użycia ujawnianych przez nich informacji przeciwko ich obecnym lub byłym pracodawcom.

- Inteligentny przeciwnik może w prosty sposób powiązać informacje zawarte w ogólnodostępnych portalach oraz serwisach społecznościowych, wchodząc w posiadanie informacji, które jeszcze niedawno dostępne były jedynie przy wykorzystaniu technik szpiegostwa przemysłowego - czytamy w raporcie. Jakie zatem informacje podawane w internecie mogą być cenne dla konkurencji i w związku z tym zagrażać firmie? Czy każde uczestnictwo w portalu niesie takie ryzyko?

Jak powiedział nam zaangażowany w badania Cezary Piekarski, menedżer w Dziale Zarządzania Ryzykiem Deloitte, siłą osób zajmujących się zawodowo pozyskiwaniem informacji jest umiejętność korelacji praktycznie nieistotnych faktów, które połączone ze sobą przedstawiają znaczną wartość i mogą stanowić o przewadze konkurencyjnej.

- Tradycyjnym przykładem takich informacji są dane o relacjach biznesowych przechowywane na portalach społecznościowych przeznaczonych dla profesjonalistów. Innym przykładem będą fragmenty plików konfiguracyjnych umieszczane na forach przez poszukujących rozwiązań technicznych problemów administratorów naszej infrastruktury. W polskim internecie bez trudu odnajdziemy strony, które umożliwiają darmowe przeszukanie najpopularniejszych portali i połączenie uzyskanych w ten sposób informacji w jeden raport - podkreśla Cezary Piekarski. I dodaje: możemy się spodziewać, że niedługo tego typu strony wejdą na "następny poziom" i zaczną korelować również informacje odnalezione za pomocą popularnych wyszukiwarek, rejestrów publicznych czy np. repozytoriów zdjęć. Gdy połączymy te informacje z dostępnymi w popularnych portalach funkcjami obsługi podróży (które informują o fizycznej lokalizacji danej osoby na przestrzeni czasu), okaże się, że ze strzępków informacji uzyskaliśmy niemal pełen obraz zawodowej i prywatnej aktywności naszego celu.

Część badanych internautów przyznaje, że stają się ofiarami ataków cyberprzestępców. Do największych zagrożeń zaliczają wirusy, spamy i programy szpiegujące. Nie wiążą jednak ich obecności z własnymi działaniami. Tymczasem choć bezpośrednio nie są one skutkiem postępowania użytkownika internetu, to mimo wszystko przez związek z konfiguracją oraz sposobem wykorzystania komputera pośrednio wspomniane zagrożenia zależą także od internauty.

Ankietowani użytkownicy sieci nie doceniają jednak znaczenia własnej działalności. Tylko 19 proc. z nich uważa, że jakość stosowanych przez nich haseł ma duże znaczenie dla bezpieczeństwa. Z kolei 25 proc. badanych uważa, że zarządzanie zmianą ma duże znaczenie, podczas gdy w oczach ekspertów jest to jedna z kluczowych kwestii bezpieczeństwa środowisk informatycznych. Niecałe 15 proc. uważa, że inżynieria społeczna stanowi duże zagrożenie. Według ekspertów jest ona jedną z lepszych metod ataku. W każdym razie prawie 90 proc. respondentów nie docenia roli bezpieczeństwa fizycznego w procesie zachowania bezpieczeństwa informacji.

Zagrożenia związane z korzystaniem z komputera nie tylko płyną z niewłaściwego, ale często z nieświadomego działania internauty. Dla przedsiębiorców kwestią priorytetową staje się więc budowanie odpowiedniej świadomości swoich pracowników oraz zapewnienie efektywności procedur związanych z wykorzystaniem komputera służbowego zgodnie z jego przeznaczeniem. Pracownicy powinni mieć świadomość, że bezpieczeństwo informatyczne firmy, w której pracują, w znacznym stopniu zależy właśnie od nich. Tymczasem według badanych pracowników jedynie w co ósmej firmie istnieje kodeks bądź regulamin dotyczący korzystania z serwisów społecznościowych.

W firmach brakuje polityki bezpieczeństwa wobec tego zjawiska - podkreślono w raporcie. Dbałość o bezpieczeństwo informacji raczej sprowadza się do stosowania rozwiązań technicznych. To na nie raczej przeznacza się środki. Jednak i w tej dziedzinie wiele jeszcze trzeba usprawnić. W porównaniu do innych państw w Polsce wykorzystuje się mało zaawansowane technologie z obszaru bezpieczeństwa IT, takie jak zarządzanie tożsamością, pozostając przy prostych i często nieskutecznych rozwiązaniach. Przedsiębiorcy niechętnie inwestują w zabezpieczenia, wiedząc, że nie zostanie to docenione przez ich klientów. Ponadto wzrost bezpieczeństwa wiąże się ze spadkiem wygody użytkowania, a to skutkuje niezadowoleniem użytkownika z wyższego poziomu bezpieczeństwa.

Prawie 50 proc. badanych nie jest zainteresowanych certyfikacją według normy ISO 27001, która zawiera dobre i sprawdzone praktyki związane z bezpieczeństwem informacji. Jej zastosowanie przy tworzeniu systemu zarządzania tym bezpieczeństwem, nawet w niewielkich środowiskach IT, przynosi bardzo dobre efekty. Jak zauważają autorzy raportu, całkowite zaniechanie nie tylko kosztownej certyfikacji, ale i wdrożenia wybranych fragmentów normy jest ciekawym trendem, który może mieć istotny wpływ na rynek usług doradczych w obszarze ochrony informacji. Być może rynek oczekuje wprowadzenia nowych, mniej restrykcyjnych regulacji, które będą mniej kosztowne we wdrożeniu i utrzymaniu.

Tym niemniej zapewnienie odpowiedniego poziomu bezpieczeństwa informacji nie jest tylko kwestią natury technicznej. Istnieje wiele aspektów proceduralnych oraz organizacyjnych mających kluczowe znaczenie z punktu widzenia ochrony informacji. Autorzy badań przywołują m.in. regulacje, które istotnie wpływają na bezpieczeństwo informacji w firmach produkcyjnych. Takim przykładem może być certyfikat AEO (Authorized Economic Operator, w Polsce Upoważniony Podmiot Gospodarczy). Ta nowa regulacja prawna wymusza między innymi posiadanie wdrożonego Systemu Zarządzania Bezpieczeństwem Informacji, a w swoich zapisach bardzo często odwołuje się do wymagań standardów z rodziny ISO 27000.

Jednocześnie posiadanie certyfikatu potwierdza dbałość firmy o bezpieczeństwo informacji oraz ciągłość działania w tej sferze. W świecie biznesu taki przedsiębiorca może być więc postrzegany jak godny zaufania partner.

Innym ważnym przejawem bezpieczeństwa informatycznego w branży produkcyjnej jest ciągłość działania. Obecnie większość procesów biznesowych zależy właśnie od IT.

Autorzy raportu podkreślają: przedsiębiorcy powinni odpowiedzieć sobie na pytanie, przez jak długi czas zachowana będzie ich działalność operacyjna w przypadku awarii środowiska informatycznego. I to powinno być dla nich wyznacznikiem budowania strategii i planowania budżetów na inwestowanie w system zarządzania bezpieczeństwem informacji. Dla zbudowania natomiast pełnego pakietu ochronnego konieczne jest wspominane wcześniej wyczulenie pracowników na skutki rozpowszechniania przez nich w internecie informacji, nawet pozornie nieistotnych. Zdaniem ekspertów Deloitte bardziej stosowne wydają się przy tym szkolenia i akcje uświadamiające oraz wypracowanie odpowiednich procedur aniżeli blokowanie dostępu do serwisów społecznościowych na poziomie infrastruktury teleinformatycznej. Jak nam powiedział Jakub Bojanowski, partner w Dziale Zarządzania Ryzykiem Deloitte, trzeba znaleźć sposób na pobudzenie wyobraźni pracowników, a tego nie osiągnie się środkami technicznymi. Chodzi bowiem o zjawisko socjologiczne, a nie technologiczne.

- Przedsiębiorcy w krajach rozwiniętych są zdecydowanie bardziej świadomi zagrożeń związanych z portalami społecznościowymi. Jest tak przede wszystkim dlatego, że tego typu strony są tam dostępne o wiele dłużej niż w Polsce. Nasi klienci za granicą przeszli już ścieżkę od trywialnego blokowania stron internetowych do spójnej polityki edukacyjnej - mówi Cezary Piekarski. I jak dodaje, wyniesione stamtąd lekcje stanowią pewne wskazówki dla polskich pracodawców. Mianowicie że:

● ignorowanie problemu nie powoduje jego rozwiązania,

● skuteczne zarządzanie ryzykiem związanym z aktywnością pracowników w sieci wymaga kompleksowego podejścia,

● kompleksowe podejście to rozwiązania techniczne, edukacja i regulacje organizacyjne,

● prewencja i edukacja są najskuteczniejszą metodą ograniczenia ryzyka.

@RY1@i02/2009/213/i02.2009.213.185.002a.001.jpg@RY2@

Jaki procent budżetu informatycznego firmy jest przeznaczony na bezpieczeństwo danych

@RY1@i02/2009/213/i02.2009.213.185.002a.002.jpg@RY2@

Jakie kwoty (w zł) firma przeznacza rocznie na zabezpieczenia w przeliczeniu na jednego pracownika

@RY1@i02/2009/213/i02.2009.213.185.002a.003.jpg@RY2@

Ujawnianie danych firmowych na portalach społecznościowych

@RY1@i02/2009/213/i02.2009.213.185.002a.004.jpg@RY2@

Czy uważa Pan/Pani, że kontakty biznesowe (prezentowane np. na Linkedin, Goldenline) są informacjami, które powinny podlegać ochronie?

@RY1@i02/2009/213/i02.2009.213.185.002a.005.jpg@RY2@

Najczęstsze zagrożenia wewnętrzne dla firm według pracowników

Charakterystyką portalu jest to, że dostarcza on dużej ilości jawnych i pozornie nieistotnych danych, które po odpowiednim skorelowaniu z innymi informacjami stają się niebezpieczną wiedzą

Iwona Jackowska

iwona.jackowska@infor.pl