Myślenie o bezpieczeństwie musi się wpisać w nasze DNA

Nasze komputery nieustannie są atakowane przez cyberprzestępców. Świat nie radzi sobie z tym problemem.

Gotowość na ataki to kwestia pewnej higieny, której dopiero się uczymy. Mukul Chopra uświadomił mi podczas konferencji, że ostatnie 10 lat to ogromna zmiana, technologiczny skok. A przecież sam internet powszechnie jest dostępny zaledwie od 20 lat. I w ciągu tych dwóch dekad nastąpiło odwrócenie świata o 180 stopni. Nic dziwnego, że jeszcze nie wszyscy znają nowe zasady, jakie w nim rządzą.

W pewnym sensie powinniśmy zacząć podchodzić do cyberbezpieczeństwa jak do przechodzenia przez ulicę - każde dziecko powinno się uczyć podstawowych zasad. Bo faktem jest, że nowe zagrożenia to w ogromnej mierze skutek naszych złych nawyków.

Jeżeli mówimy o nowoczesnym zarządzaniu zasobami informatycznymi w firmach, to być może mówimy po prostu o bezpiecznym zarządzaniu zasobami. Gdy ktoś ma firmę i zostawia otwarte drzwi, sam się prosi o kłopoty. Podobnie działa niezabezpieczenie dostępu do systemów komputerowych.

Dokładnie tak jest. Nigdy za dużo zdrowego rozsądku. Nie mówię, że trzeba od razu zmieniać prawo. Ale tak jak mamy zasady BHP - bezpieczeństwa i higieny pracy w stosunku do tradycyjnych kwestii bezpieczeństwa, tak ich elementem powinno być bezpieczeństwo w świecie cyfrowym. Pracodawcy winni wdrażać swoich pracowników w te zasady. Niestety, z dobrymi praktykami pod tym względem jest różnie. Dowodem na to jest choćby fakt, że dokumentem najczęściej pobieranym ze strony BSA | The Software Alliance jest wzór porozumienia między pracodawcą a pracownikiem w zakresie korzystania z oprogramowania. To pokazuje, że nawet duże firmy nie mają wdrożonej własnej praktyki w tym zakresie.

Co jest w tym dokumencie?

Ogólne zasady i praktyki, czyli to, że pracownik bierze odpowiedzialność za sprzęt, że nie instaluje na nim samodzielnie oprogramowania. To, że jest to tak często pobierany dokument, pokazuje, że jest popyt na tego typu informacje. Bardzo często jestem też pytany, co jest w ocenie BSA powodem, że mamy w Polsce tak duży problem z używaniem nielegalnego oprogramowania i tak często trzeba w związku z tym stawiać zarzuty właścicielom firm. Czasem oczywiście to są błędy ludzkie czy przeoczenia, w efekcie których doszło do naruszenia umów licencyjnych. Ale w wielu przypadkach jest to działanie w pełni świadome. Po prostu ryzyko ujawnienia sprawy, złapania przez organy ścigania jest niewielkie. Ale mamy też przypadki świadomego łamania prawa. I to na tyle świadomego, że jeden z sądów niedawno orzekł 3,7 mln zł celem naprawienia szkody. To efekt zawartej ugody, ale najważniejsze, iż w świat poszedł sygnał, że takie działania nie popłacają.

Może nie aż tak dużych, ale znacznych kar - idących w setki tysięcy złotych - jest coraz więcej.

Znane są opowieści o szefie, który znalazł pendrive’a na parkingu i tak zainfekował swój komputer czy hasłach zapisywanych na karteczkach przyklejonych do monitora albo na ścianie. Fachowcy mówią, że firma jest tak cyberbezpieczna, jak jej najsłabsze ogniwo, czyli ludzie. Czy ten aspekt dotyczący poczucia odpowiedzialności pracowników, i to każdego szczebla, jest już w przedsiębiorstwach znany i zrozumiały?

Ten pendrive to takie hasło-klucz, obrazek pokazujący jak łatwo jest nawet rękoma szefa doprowadzić do cyfrowego kryzysu. Naprawdę wciąż nie wszyscy to wiedzą i rozumieją. Stąd ciągłe powtarzanie tej historii. Sam znam inną historię świadczącą o tym, jak inteligentnie działa napastnik: otóż jedyną osobą w zaatakowanej firmie, która zorientowała się, że jest coś nie tak, okazała się księgowa, która zauważyła nieprawidłowości w rozliczeniach.

Ważne jet to, że trudno budować jakąś politykę cyberbezpieczeństwa bez fundamentów. A tymi fundamentami jest zarządzanie wszystkimi zasobami informatycznymi w każdej organizacji. Obecnie, wobec coraz większej liczby zagrożeń, zarządzanie nabiera coraz większego znaczenia.

Myślenia o bezpieczeństwie musi zostać zakodowane w DNA.

Tak, i to każdej organizacji, bez wyjątku, nie tylko dla dużych. Obecnie RODO - czyli nowe unijne przepisy o ochronie danych osobowych - są katalizatorem zmian w myśleniu o bezpieczeństwie. Szczególnie że został wyznaczony konkretny deadline. Ale mimo wszystko, gdyby zapytać mikroprzedsiębiorców ilu z nich robi backup danych, ilu regularnie aktualizuje oprogramowanie, to jestem przekonany, że wciąż są to wyjątkowe sytuacje.

@RY1@i02/2017/211/i02.2017.211.21400040d.801.jpg@RY2@

fot. Wojtek Górski

Bartłomiej Witucki, adwokat, przedstawiciel organizacji BSA | The Software Alliance

SY

@RY1@i02/2017/211/i02.2017.211.21400040d.802.jpg@RY2@