Wyciek poufnych danych z firmy. Jak zapobiegać?

Replies to This Discussion

Permalink Reply by Tadeusz Lemańczyk on January 22, 2011 at 11:41am

Pani Marto, a mogłaby Pani jeszcze napisać, do którego tematu z tych ośmiu, Was dotyczących ( http://www.lemant.user.icpnet.pl/tad/ester9.html ), chciała Pani zainicjowane przez siebie zagadnienie podłączyć. Prosiłbym o uargumentowane uzasadnienie.

Permalink Reply by Marta Olejniczak on January 22, 2011 at 12:08pm

Owszem.

Myślę, że jest to zagadnienie z zakresu :”Polityka bezpieczeństwa informacji. Zasady udostępniania informacji – zagrożenia i mankamenty”, z tego względu, że pracodawca musi udostępniać pracownikowi jakiś tam zakres danych dotyczący jego firmy (gdyby tego nie robił pracownik nie byłby dobrze poinformowany, a więc tak naprawdę nie byłby świadomy swojej pracy). Zainicjowany przeze mnie temat porusza jedno z zagrożeń, którym jest wyciek informacji.

Permalink Reply by Tadeusz Lemańczyk on January 22, 2011 at 12:59pm

Dziękuję. Z myślą o swoich przyszłosemestralnych studentach inżynierii bezpieczeństwa postanowiłem ostatecznie podłączyć zainicjowane przez Panią zagadnienie do tematu Zasady udostępniania informacji – zagrożenia i mankamenty ( http://www.lemant.user.icpnet.pl/tad/ester4w-4.html ). Wydaje się być ono całkiem zgrabnym wprowadzeniem do tego tematu.

Permalink Reply by Michał Bednarek on January 22, 2011 at 1:25pm

Wyciek poufnych danych z firmy, to kłopot z którym pracodawcy często nie mogą sobie poradzić.

Przeprowadzone badania statystyczne potwierdzają, że ponad 70% firmowych danych jest przechowywanych na stacjach użytkowników, na których zabezpieczenia sieciowe i reguły bezpieczeństwa nie są w stanie zmniejszyć ryzyka wycieku danych. Rosnąca liczba nośników danych oraz bezprzewodowych interfejsów komunikacyjnych  sprawia, że przypadkowy jak i umyślny wyciek informacji, stanowi realne zagrożenie.

Wystarczy podpiąć nośnik USB, aparat cyfrowy lub iPoda do komputera użytkownika i skopiować poufne informacje. Równie łatwe jest wykorzystanie WiFi, Bluetooth lub modemu 3G do połączenia zabezpieczonej sieci wewnętrznej z siecią zewnętrzną.

 

Dobrym sposobem, aby zapobiec wycieku danych jest przeprowadzanie różnych szkoleń dla pracowników oraz instalowanie programów, które będą chronić dane firmy, np. SafeGuard PortProtector. Jednak najlepszym sposobem, jest nasza uczciwość względem pracodawcy, której nikt i nic nie zastąpi.

 

 

Permalink Reply by Adriana Węclewska on January 29, 2011 at 10:02pm

Temat ten podobny, do wycieku informacji, czy ochronie danych osobowych jest tematem, na który można wiele pisać.

Wydaje mi się, że pracodawcy mogą zmniejszyć ryzyko wycieku danych na kilka sposobów. Przede wszystkim, niestety - ograniczona ufność. Do pewnych danych mają dostęp określone osoby, każda jest odpowiedzialna za jedną/dwie rzeczy - osoby te mają ściśle powiedziane co grozi za wyciek informacji lub przekazanie danych osobom postronnym, z zachowaniem wszelkich jasno określonych konsekwencji prawnych. Tak jak pisałam już w jednym temacie, dobrym sposobem na zatrzymanie danych we firmie, jest pozbawienie pracownika możliwości pracy we firmie o podobnym profilu przez dany okres czasu - na przykład 2 lata. Kto chciałby zatrudnić pracownika, którego powodem zwolnienia było wyniesienie poufnych danych? Nikt oprócz pracodawcy, który ma z tego korzyści. A jeśli dany pracownik podpisze wraz z umową oświadczenie, w którym zobowiązuje się do nie podejmowania pracy we firmie o podobnym profilu - taki pracodawca nie może go zatrudnić.

Kolejne, instalowanie odpowiednich programów zapobiegających wyciekom danych na inne nośniki.

Kolejne - Internet, przecież przez maile, komunikatory, również można przesłać dane - odpowiednie blokady, filtry.

Najgorsza jest plotka - jej niestety nie da się zapobiec. Dlatego jak pisze kolega Michał - uczciwość względem pracodawcy. Przecież i jemu i nam, zależy na udanej współpracy przez wiele lat.

Permalink Reply by Przemysław Jarmużek on January 29, 2011 at 11:13pm

Nawiązując do postów wyżej ,uważam że można zaryzykować podsumowaniem tematu stwierdzeniem że i tak wszystko pozostaje w rękach człowieka - pracownika ( obecnego czy byłego ) .

Nieważne jakie będą zabezpieczenia - dane da się wynieść, chociażby najstarszą metodą - plotką -jak wspomniała Adrianna .

Można oczywiście nakładać na pracowników klauzule poufności, zakazy ,nakazy. Jednak i tak to od człowieka zależy czy się do tego ustosunkuje czy też nie .

Uważam że właśnie do tego powinno się dążyć - takiego nastawienia ludzi,by jak wspomniała Adrianna - współpraca była korzystna dla wszystkich stron, bez strat dla żadnej z nich .Bez zrozumienia tego walka przeciw wyciekom nie ma łatwej drogi ...

Permalink Reply by Krzysztof Sobiech on March 28, 2011 at 3:41pm

Witam.

Na początku swojej wypowiedzi chciałbym odnieść się do wypowiedzi Pani Marty Olejniczak, a konkretnie do fragmentu w którym wymienia ona różne powody wycieku danych firmowych.

 

Wydaje mi się, że w tym miejscu należałoby wspomnieć także o zagrożeniu, które jest nam wszystkim powszechnie znane, a wyeliminowanie go jest niezmiernie trudne. Osobiście uważam, że wręcz niemożliwe. Zagrożenie, które mam na myśli to łapówkarstwo.

Żyjemy w czasach w których informacja jest bardzo wartościowa, a za dostęp do niej wiele osób lub firm jest w stanie poświęcić dużo. Siła pieniądza we współczesnym świecie jest na tyle duża, że nawet najwierniejszy i najbardziej zaufany pracownik ( oczywiście z odpowiednim dostępem do informacji) kuszony „ciekawymi” propozycjami łatwego, a zarazem dużego zarobku nie odmówi i puści przysłowiową „ farbę”. 

Załóżmy, taką sytuację:

Olbrzymi koncern ”X”  władający olbrzymimi sumami pieniędzy, wie o tym, że obca firma „Y” posiada informację, która jest bardzo wartościowa i po zdobyciu której koncern „X” stanie się gigantem na rynku, co zarazem otworzy im drogę do jeszcze większych pieniędzy.

 

Jak łatwo się domyśleć firma „X” mając pewność, że pieniądze, które będą musieli wyłożyć zwrócą się z nawiązką, nie zawahają się spróbować sposobu nie do końca zgodnego z prawem i dopuścić się próby przekupstwa pracownika. Spójrzmy na sytuację z drugiej strony medalu.

Pracownik mogąc zarobić niemałe pieniądze  (jak wiadomo cenna informacja nie jest tania) i mając pewność, że nikt nie udowodni mu przestępstwa, dlaczego miałby nie skorzystać?

 

Podsumowując, uważam, że wszelakie sposoby zabezpieczania informacji wymienione przez moich poprzedników nie są w stanie zatamować wycieku danych, ponieważ istnieje plotka, która w połączeniu z ludzką naiwnością i chęcią posiadania daje niezwykle niebezpieczną mieszankę. Oczywiście zdaje sobie sprawę z tego, że moja wypowiedź podważa wiarę w człowieka, ale niestety czasy w których żyjemy wywierają na nas olbrzymią presję, której niestety większość z nas ulega.

Permalink Reply by Tadeusz Lemańczyk on March 28, 2011 at 9:22pm

Panie Krzysztofie, ponieważ spodziewam się, że zostanie Pan przez koleżanki i kolegów zarzucony licznymi kontrargumentami, ograniczę się do zarekomendowania Panu noszenia tej oto koszulki


. :-)

Permalink Reply by Juliusz Zmyślony on April 4, 2011 at 7:20pm

Faktycznie, w skrajnych przypadkach, gdzie informacje warte są ogromnych pieniędzy, do takich sytuacji może dochodzić. Ale dam sobie trzy palce odciąć, że proceder wycieku danych tą drogą (konerny X,Y i milionowe sumy) to kropla w morzu całego zagadnienia jakim jest omawiany w tym miejscu wyciek informacji. Wielkie firmy znające wartość swoich zasobów więdzą jak rozwiązywać ten problem. Sam podałeś w innym temacie przykład koncernu Coca Cola, który skutecznie utrzymuje w sekrecie swoje receptury już od ponad stu lat. Link

W moim mniemaniu skuteczną metodą będzie dobre opłacanie ludzi odpowiedzialnych za ważne informacje i, a w zasadzie przede wszystkim, odpowiednia selekcja personelu mającego dostęp do tych informacji.

Być może sam powinienem nabyć taki t-shirt, ale uważam, że osoba zadowolona ze swojej pracy, zarobków, atmosfery, świadoma odpowiedzialności jaka na niej spoczywa nie powinna ulec pokusie zarobienia łatwych pieniędzy. Napisałeś, że w dzisiejszych czasach wielu ludzi jest stawianych przed takimi wyborami, ale nie zawsze przecież muszą wybierać źle!



Permalink Reply by Julianna Kaczmarek on April 4, 2011 at 7:54pm

Jak wspomniał kolega Krzysztof największym przestępcą w firmie, jeżeli chodzi o wyciek danych jest pracownik. Oprócz wynoszenia danych na kluczach USB, czy zewnętrznych dyskach twardych, wielu z nich przesyła dokumenty jako załącznik do wiadomości e-mail i w ten sposób wynosi informacje poza firmę.

Na szczęście powstał tzw. "Cyfrowy detektyw", który daje możliwość, przez identyfikację, zabezpieczenie i analizę, do zabezpieczenia dowodów w taki sposób, aby mogły one zostać przedstawione w sądzie. (http://cio.cxo.pl/artykuly/57547/Cyfrowy.detektyw.w.firmie.html)

Uważam, że aby dobrze zabezpieczyć się przed wyciekiem informacji z firmy, spowodowanych przez pracowników, dobrym sposobem jest wspomniany przez kolegę Juliusza, a mianowicie dobre opłacenie i odpowiednia selekcja personelu dopuszczonego do tajnych informacji, czy danych. Natomiast, aby zabezpieczyć i dodatkowo zapobiegać "uciekaniu" informacji drogą elektroniczną dobrym rozwiązaniem mogłoby być oprogramowanie, takie jak wspomniane przeze mnie wcześniej. Przy czym istotne jest poinformowanie pracowników o takiego typu działaniach, gdyż, według mnie, wiedząc, że są "śledzeni" nie będą dopuszczać się przestępstw.

Permalink Reply by Paweł Sasin on April 5, 2011 at 8:36pm

Kontrargumentów nie mam, ale za to zgadzam się z poprzednią wypowiedzią. Obecnie pracownicy wielu firm, którzy mają dostęp do poufnych danych są łakomym kąskiem dla konkurencji, która w prosty sposób jest w stanie nakłonić ich do przekazania bardzo ważnych informacji. Wystarczy odpowiednia mobilizacja finansowa i wiele osób jest w stanie podjąć takie ryzyko mając na uwadze profity jakie mogą otrzymać.

Gdybym ja był pracodawcą to starałbym się, aby każda przeze mnie zatrudniona osoba miała dostęp do rzeczy tylko i wyłącznie niezbędnych przy wykonywaniu swojej pracy. Jedna osoba ma dostęp do jednego rodzaju danych i wtedy wiadomo kto mógł się przyczynić do ewentualnego przecieku. Wtedy można wyciągnąć odpowiednie konsekwencje, ponieważ mamy jedynego podejrzanego. Nie ma sensu dawać wszystkim takich samych uprawnień, ponieważ wtedy o wyciek danych jest już bardzo łatwo, a do tego nie będziemy w stanie dokładnie określić kto się do tego przyczynił.

Chciałbym tutaj posiłkować się danymi z krótkiego artykułu o zapobieganiu wyciekowi danych zawartego na stronie http://aplusc-systems.com/blog/2010/12/zatamuj-wyciek-danych-%E2%80... . Znajduje się tam kilka prostych zasad, wedle których każda firma dbająca o bezpieczeństwo powinna się kierować:

• Każda firma powinna wdrożyć politykę klasyfikacji i zarządzania informacjami

• Pracownicy powinni odbyć wewnętrzne szkolenie w klasyfikowaniu i zarządzaniu wszystkimi rodzajami informacji oraz danych firmowych

• Wszyscy pracownicy powinni przejść profesjonalne szkolenie z zakresu bezpieczeństwa i ochrony informacji

• Powinna być prowadzana okresowa inwentaryzacja krytycznych i wrażliwych danych, które firma tworzy, modyfikuje i magazynuje

• Należy wprowadzić politykę mówiącą, iż żadne wrażliwe czy kluczowe dane nie mogą być przechowywane na nośnikach wymiennych (np. pendrive) bez formalnej zgody osoby odpowiedzialnej za bezpieczeństwo danych w firmie

• Należy wdrożyć system umożliwiający monitorowanie działań pracowników oraz blokowanie zewnętrznych nośników danych lub zarządzanie prawami dostępu do tego typu nośników

Sądzę, że trzymanie się chociażby tych kluczowych reguł jest w stanie niejednokrotnie uchronić firmę przed ogromnymi stratami związanymi z wyciekiem poufnych danych.

Permalink Reply by Agnieszka Krajewska on April 10, 2011 at 5:23pm

Z podobnym problemem, co koleżanka Izabela spotkałam się w trakcie przygotowywania prezentacji z tego samego przedmiotu, z tą różnicą, że mój temat dotyczył niszczarek. Moim zdaniem stwarzają one także zagrożenie dla nieświadomego wycieku danych z firmy, od kiedy palenie ważnych dokumentów stosuje w zasadzie tylko Watykan i to wyłącznie w przypadku konklawe, jednym z najważniejszych sprzętów w biurach i urzędach stała się niszczarka do papieru. A tylko w samych Stanach Zjednoczonych rynek tych urządzeń wart jest ponad 100 mln dolarów rocznie i w zabójczym tempie rośnie. Oczywiście istnieje kilka norm, które regulują stopień bezpieczeństwa niszczarek.

 

Sama norma DIN 32757 definiuje 5 poziomów bezpieczeństwa:

• poziom 1, dokumenty ogólnego użytku, paski o szerokości mniejszej niż 12mm lub całkowita powierzchnia ścinka mniejsza niż 2000mm²;
• poziom 2, dokumenty wewnętrzne, paski o szerokości mniejszej niż 6mm lub całkowita powierzchnia ścinka mniejsza niż 800mm²;
• poziom 3, dokumenty poufne, paski o szerokości mniejszej niż 2mm lub ścinki o powierzchni mniejszej niż 320mm2, szerokości mniejszej niż 4mm, długości mniejszej niż 80mm;
• poziom 4, dokumenty tajne, ścinki o powierzchni mniejszej niż 30mm², szerokości mniejszej niż 2mm, długości mniejszej niż 15mm;
• poziom 5, dokumenty ściśle tajne, ścinki o powierzchni mniejszej niż 10mm², szerokości mniejszej niż 0,8mm, długości mniejszej niż 13mm;

 

Mimo zaawansowanej technologii okazuje się, że gdy trzeba odzyskać naprawdę ważne dokumenty, niszczarki okazują się mało skuteczne i ich odzyskanie jest możliwe. Wszystko oczywiście zależy od sposobu niszczenia dokumentów (efektywniejsze zniszczenie danych jest wówczas, gdy linie cięcia papieru nie są równoległe do linii tekstu ), zaawansowania konstrukcji mechanicznej i chemicznej oraz obecności zabezpieczenia utrudniającego analizę (np. wymieszanie pasków papieru).  Dokumenty zniszczone przez niszczarkę mogą być odtworzone na dwa sposoby: ręcznie lub z wykorzystaniem komputerowej analizy i obróbki danych. Jeśli ścinki dokumentu nie są wymieszane, ręczne odzyskanie danych jest relatywnie proste; w przeciwnym wypadku jest to dość czasochłonny proces, który dużo skuteczniej może zostać przeprowadzony za pomocą komputera. Warto także wziąć pod uwagę fakt, że każda niszczarka zostawia indywidualne cechy na skrawkach papieru, które mają z nią kontakt, dzięki czemu identyfikacja miejsca zniszczenia danego dokumentu jest bardzo możliwa.

 

Żeby nie być gołosłowna chciałabym wspomnieć o akcji, jaką przeprowadzili Niemcy. Mianowicie postanowili oni odtworzyć zniszczone dokumenty po wschodnioeuropejskiej służbie bezpieczeństwa NRD Stasi, które były znajdowały się w setkach worków pociętych na drobne kawałki. Do tej pracy zostali zatrudnieni doświadczeniu pracownicy służb granicznych, który po likwidacji granicy niemiecko-niemieckiej zostali bezrobotni. Na ich efekty nie trzeba było czekać długo, ponieważ już po kilkunastu miesiącach odtworzyli oni większość dokumentów tajnej policji NRD.

Oczywiście nie była to pierwsza na skalę światową akcja. W 1979 roku w Iranie doszło do islamskiej rewolucji, pracownicy ambasady USA w Teheranie (która była jednocześnie centrum operacji wywiadowczych CIA na terenie Azji) przystąpili do panicznego niszczenia tysięcy akt. W ciągu trzech lat irańscy studenci, którzy zajęli ambasadę poskładali wszystkie skrawki papieru w 68 tomów akt wydanych pod wspólnym tytułem „Z jaskini amerykańskiego wywiadu”. Była to największa wpadka służb wywiadowczych w historii, gdyż akta zawierały nie tylko informacje o działaniach CIA, ale też na przykład o akcjach izraelskiego Mossadu w Związku Radzieckim.

Jak trudno dobrze zniszczyć papier, świadczy też wpadka Enronu- jednej z największych na świecie firm energetycznych, która w wyniku oszukańczych operacji finansowych zbankrutowała z hukiem w 2001 roku. Tam niszczarki pracowały bez chwili wytchnienia, jednak pracownicy, chcąc ułatwić sobie zadanie niszczenia kompromitujących firmę dokumentów, wkładali je w otwór niszczarki dłuższą krawędzią. Przez to zadrukowane kartki cięte były wzdłuż linii tekstu, więc ich odtworzenie dla służb śledczych okazało się banalnie proste. Tym bardziej że od długiego czasu w pracy tej wykorzystuje się programy komputerowe, stworzone do układania zarówno dwu-, jak i trójwymiarowych puzzli.

 

Zainteresowanym tą sprawą odsyłam: http://www.money.pl/gospodarka/wiadomosci/artykul/byly;szef;enronu;...

Podsumowując chciałabym podkreślić, że nawet najbardziej zniszczony papier ulegnie w końcu przed ludzką determinacją oraz komputerową techniką i odda swoje tajemnice, dlatego też moim zdaniem o tyle dużo większym problemem niż odtwarzanie danych staje się dziś ich niszczenie.

• ‹ Previous
• 1
• 2
• 3
• 4
• Next ›
• Page