Wycieki danych spowodowane atakami hakerskimi, bądź celowym działaniem osób bezpośrednio związanych z organizacją to prawdziwa zmora przedsiębiorstw i instytucji na całym świecie. Jak podają różne źródła, w ostatnim roku z naruszeniami bezpieczeństwa sieci i wyciekami danych spotkało się nawet 60-80 % firm.
INCYDENTY DOTYCZĄCE NARUSZEŃ DANYCH CYFROWYCH – ZADANIE DLA LABORATORIUM INFORMATYKI ŚLEDCZEJ
W wyniku takich incydentów firmy tracą nie tylko dane, ale również reputację, a przecież szkody wizerunkowe pociągają za sobą niejednokrotnie o wiele poważniejsze i bardziej znamienne w skutkach konsekwencje niż same straty finansowe. Po wpadkach z wyciekiem danych klienci przechodzą do konkurencji, która według nich lepiej radzi sobie z bezpieczeństwem dotyczących ich informacji. Zwykle po takich zdarzeniach organizacja ma również kłopoty z prawem – organy stojące na straży bezpieczeństwa danych osobowych, wszczynają postępowanie mające na celu wyjaśnienie okoliczności zdarzenia, a od wejścia w życie RODO mogą wymierzać również wysokie kary za naruszenia.
Oczywiście naruszenia bezpieczeństwa danych nie dotyczą wyłącznie danych osobowych, ale również wszelkiego rodzaju tajemnic chronionych prawem oraz informacji, które organizacja zabezpiecza przed nieuprawnionym dostępem osób trzecich, jak tajemnica przedsiębiorstwa, know – how firmy, bazy danych obejmujące klientów, projekty realizowane przez przedsiębiorstwo, a także wszelkie inne informacje zapewniające mu przewagi rynkowe nad konkurencją.
I choć przed hakerami trudno się zabezpieczyć, co pokazują przykłady ataków nawet na międzynarodowe korporacje przeznaczające ogromne nakłady na kwestie bezpieczeństwa, to zagrożenia dla firmowych czyhają również wewnątrz organizacji. Podobnie bowiem jak istnieje ciche przyzwolenie na okradanie pracodawców z symbolicznych spinaczy biurowych, papieru toaletowego, czy innych składników mienia zakładowego, tak również wielu osobom wydaje się, że równie bezkarnie mogą skopiować i wynieść dane cyfrowe wytwarzane przez firmy w związku z ich bieżącą działalnością. Incydenty tego typu stanowią case study dla biegłych z zakresu informatyki śledczej, którzy dokonują analizy zapisów nośników elektronicznych wykorzystywanych w organizacji w poszukiwaniu dowodów aktywności działającego w strukturach firmy złodzieja. Bardzo często zdarza się, iż kradzieże baz danych towarzyszą odejściu pracownika z zakładu pracy, zmianie pracodawcy, w tym przejście do szeregów konkurencji, a także otwieraniu własnej działalności o profilu zbliżonym do zakresu działalności dotychczasowego pracodawcy. Jak wiadomo, ludzie lubią chodzić na skróty i zamiast tracić czas na zbudowanie sieci własnych kontaktów, czy opracowanie autorskich projektów, korzystają z cudzego dorobku. Niektórym wydaje się również, że jeżeli oni są autorami wykradzionych treści, które zostały wytworzone w trakcie trwania stosunku pracy, to tym bardziej mogą je sobie przywłaszczyć. Nic bardziej mylnego, bowiem, jeżeli opracowania, dokumenty, projekty, bazy danych, czy inne treści powstały w ramach świadczenia pracy to stanowią one własność pracodawcy. Wynika to bezpośrednio z art. 12 ustawy z dnia 04 lutego 1994 roku o prawie autorskim i prawach pokrewnych tym bardziej, że przecież za ich wytworzenie pracownik otrzymywał umówione wynagrodzenie.
Jeżeli ustawa lub umowa o pracę nie stanowią inaczej, pracodawca, którego pracownik stworzył utwór w wyniku wykonywania obowiązków ze stosunku pracy, nabywa z chwilą przyjęcia utworu autorskie prawa majątkowe w granicach wynikających z celu umowy o pracę i zgodnego zamiaru stron.
DLP – TECHNOLOGIE WSPOMAGAJĄCE OCHRONĘ PRZED WYCIEKAMI DANYCH
Powszechnie wiadomo, iż lepiej zapobiegać incydentom, niż usuwać ich skutki, dlatego wiele organizacji wdraża w celu ochrony zasobów cyfrowych systemy DLP (Data Leak/Loss Protection/Loss Prevention), czyli systemy ochrony przed wyciekami informacji, zabezpieczające przed kradzieżą danych, przypadkowymi wyciekami, czy atakami zewnętrznymi.
Systemy DLP wdrażane są po przeprowadzeniu audytu bezpieczeństwa w organizacji, którego zadaniem jest wskazanie obszarów potencjalnych ryzyk, a także zdefiniowanie najważniejszych informacji z punktu widzenia funkcjonowania organizacji, które należy objąć szczególną ochroną. W zależności od zastosowanej technologii, systemy DLP pozwalają w szczególności na:
- Klasyfikowanie danych wg różnych kategorii i przypisywanie im klasy ważności, a co za tym idzie poziomu ochrony
- Szyfrowanie i deszyfrowanie określonych danych, tak by nie mogły one opuścić murów organizacji w postaci niezaszyfrowanej
- Uniemożliwienie zapisywania danych na nośniki zewnętrzne
- Blokowanie możliwości wysyłania i udostępniania określonych plików
- Kontrolowanie ruchu sieciowego i wgląd w aktywność użytkowników na urządzeniach firmowych oraz przestrzeganie przez nich polityk bezpieczeństwa
- Zabezpieczanie urządzeń mobilnych wykorzystywanych przez organizację
- Monitorowanie wydruków
- Monitorowanie zawartości firmowych skrzynek mailowych pod kątem występowania w nich określonych treści, nadawców, odbiorców, bądź zawartości załączników
- Monitorowanie przeglądanych stron www oraz pobieranych z nich treści
- Preparowanie ataków zewnętrznych w celu wykrycia słabych punktów
Współczesne firmy i organizacje nie mają lekkiego życia – nie mogą skupić się wyłącznie na core swojego biznesu, lecz dużą część swego czasu i środków muszą przeznaczać na zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych przez instytucję informacji. Utrata danych stanowi dziś realne zagrożenie związane zarówno z awariami sprzętowymi (uszkodzenie dysku twardego stacji roboczej, czy awaria macierzy raid), jak również wynikające z incydentów stanowiących celowe działanie ludzkie. W efekcie samo wykonywanie kopii zapasowych nie wystarczy by uchronić organizację przed naruszeniem integralności zasobów cyfrowych i zapewnić ciągłość działania jej systemów. Dziś konieczne staje się wdrażanie polityk bezpieczeństwa obejmujących różne scenariusze zagrożeń, a jednym z narzędzi pozwalających na podniesienie poziomu bezpieczeństwa danych elektronicznych jest wdrożenie systemu DLP.