Informacja – jedno z najcenniejszych obecnie aktywów. O tym, jak wiele mogą zrobić niektórzy, aby ją posiąść, pisze się książki i robi filmy. Ale spektakularne wydarzenia związane z wyciekiem danych są nie tylko tematem fikcji literackiej czy kinowej. Ludzkość ma z nimi do czynienia w realnym świecie. Obiegowi informacji elektronicznych, bo te interesują nas tu przede wszystkim, towarzyszy zmiana posiadacza, okupiona często świadomą bądź nieświadomą „dystrybucją”.

Zanim zastanowimy się nad tym, jak można ustrzec się przed wyciekiem danych i które zasoby, osobowe i finansowe, trzeba chronić, musimy odpowiedzieć sobie na kilka podstawowych pytań.

Po pierwsze: czy mamy jakiekolwiek informacje, które chcemy chronić?

Odpowiedź jest jasna: oczywiście, że tak! Każdy z nas posiada jakąś „tajemnicę”, którą niechętnie się podzieli. Począwszy od przysłowiowego Kowalskiego, który nie zdradzi nikomu swojego PIN-u do karty płatniczej ani informacji o zarobkach, a skończywszy na liście klientów i operacjach finansowych wielkiej firmy. – I znowu pieniądze, nuda… – pomyślałby ktoś. Zgoda. Ale do rzeczy. Czy w obecnych czasach pieniądz lub informacja o nim nie jest jednym z najbardziej strategicznych aktywów? Który, co więcej, może zdecydować o biznesowym „być albo nie być”?

Własność intelektualna? Oczywiście, można by bez końca wymieniać przykłady pilnie strzeżonych „know-how” czy też utworów wokalno-muzycznych, których ochrona kuleje będąc przetwarzana w oprogramowaniach P2P. A wizerunek? Nikomu nie zależy na tym, aby szargano jego imię kompromitującymi artykułami lub innymi treściami dystrybuowanymi np. w sposób elektroniczny. Czemu akurat elektroniczny? Ponieważ jest najszybszy – ot, co. To tylko trzy przykłady, ale na tyle pojemne, aby dowieść, że każdy z nas dysponuje taką informacją, której ujawnienie nie byłoby dla niego korzystne (delikatnie rzecz ujmując).

Po drugie: czy wiemy, gdzie znajdują się nasze cenne informacje?

Odpowiedź na to pytanie wydaje się oczywista, ale czy na pewno? Ależ tak: mój komputer, telefon, tablet, no i serwer. Ale który serwer? Ten, który stoi w serwerowni naszej firmy, czy ten z którym replikujemy swoje dane w chmurze? A może w tzw. grupie roboczej, która synchronizuje dane swoich pracowników przetrzymywanych w systemach CRM, bazach danych czy wewnętrznych forach dyskusyjnych? Możliwości mamy więc dużo. Rozwiązanie jest dość skomplikowane, choć brzmi niewinnie: inwentaryzacja aktywów. Jak ją przeprowadzić, aby wynik był rzetelny?

Możemy ją wykonać sami lub powierzyć tę czynność specjaliście. Wybierając tę drugą formę, musimy mieć świadomość, że nasze dane zostaną przetworzone przez stronę trzecią. Zakładamy, że mamy do niej zaufanie, a bezpieczeństwo gwarantują nam stosowne paragrafy w zawartej przez strony umowie.

Jeśli chcemy dokonać inwentaryzacji własnymi siłami, musimy pamiętać o kilku ważnych kwestiach.

1. Jakie informacje przetwarza organizacja? Tworzymy zbiór wszystkich rodzajów informacji z podziałem na źródło pochodzenia, tj. komórkę organizacyjną, która wytwarza daną informację, a tym samym jest jej właścicielem, oraz miejscem przechowywania.
2. Jakie znaczenie ma dla nas informacja z pkt.1. Opracowujemy tzw. klasyfikację informacji, w której każdy właściciel określa stopień ważności informacji dla organizacji. Ta czynność jest bardzo subiektywna w ocenie każdego właściciela. Dlatego należy pamiętać, aby sklasyfikować informacje tak, aby późniejsze ich przetwarzanie nie sprawiało nam kłopotu.
3. Określamy sposób przetwarzania danej informacji, zarówno w wersji papierowej, jak i elektronicznej, jednocześnie opisując metody zabezpieczeń jednej i drugiej.
4. Określamy położenie informacji. To trudne zadanie, zwłaszcza w stosunku do informacji przetwarzanych w wersji elektronicznej. O ile nie uda nam się tego zrobić na podstawie informacji przekazanych przez IT i klasyfikacji informacji, to pozostaje nam wykorzystanie oprogramowania, które jest w stanie przeskanować zasoby firmy w poszukiwaniu konkretnych plików lub typów informacji przez nas zdefiniowanych tzw. Data Discovery & Clasification.
5. Definiujemy osoby, które mogą korzystać z informacji opisując zasady dostępu do wersji papierowej i elektronicznej.

I wreszcie po trzecie: czy wiemy, jak odbywa się przepływ naszych cennych informacji?

Odpowiedź na to pytanie to definicja kanałów transmisji pomiędzy naszymi, wewnętrznymi zasobami IT oraz metod przesyłania informacji poza naszą infrastrukturę¹. Upilnowanie danych mogących wypłynąć na zewnątrz jest trudne z uwagi na liczbę i różnorodność punktów styku informacji ze światem zewnętrznym. Klasycznym przykładem niewątpliwe są:

• media społecznościowe, do których dostęp mają nasi pracownicy również z sieci wewnętrznej,
• fora dyskusyjne, na których mogą wyrażać swoje opinie lub doradzać,
• komunikatory, dzięki którym można dotrzeć do wszystkich zakamarków świata protokołu IP,
• sprzęt, czyli narzędzia, dzięki którym dostęp do powyższych jest realizowany.

Dopiero, gdy ustalimy odpowiedzi na te pytania, możemy się zastanowić nad tym, jak chronić informacje. Osobiście podzieliłbym metody zabezpieczeń na trzy rodzaje:

• organizacyjne, czyli zbór zasad spisanych w formie regulacji wewnętrznych (procedury) i zewnętrznych (akty prawne),
• fizyczne, czyli zabezpieczenia na poziomie fizycznej kontroli dostępu do zasobów,
• logiczne, największe spectrum rozwiązań, bezkrytycznie realizujących swoje zadania tak, jak je zaprogramowano.

Mimo, że zabezpieczenia organizacyjne dają nam najmniejszy poziom zabezpieczenia informacji przed wyciekiem, są one konieczne w organizacji, ponieważ wpływają na świadomość osób, których dotyczą.

Zabezpieczenia fizyczne potrafią już skutecznie zabezpieczyć dostęp do zasobów, podobnie jak zabezpieczenia logiczne – pod warunkiem, że jedne i drugie są prawidłowo skonfigurowane, a operator, który nimi zarządza, na bieżąco aktualizuje reguły, według których wspomniane zabezpieczenia pracują.

Na największą uwagę zasługują jednak zabezpieczenia wymienione w trzeciej kategorii. Właśnie dzięki zabezpieczeniom logicznym jesteśmy w stanie panować nad uprawnieniami do zasobów informatycznych (w tym systemów i plików). To dzięki nim w czasie rzeczywistym śledzimy transmisję danych pomiędzy serwerami, bazami danych i użytkownikami. A w sytuacji krytycznej reagują np. zerwaniem połączenia. I w końcu to one informują nas kiedy, skąd i dokąd mógł nastąpić wyciek informacji, jednocześnie raportując, że uniemożliwiły wyprowadzenie chronionej informacji na zewnątrz. Dlatego też temu rodzajowi zabezpieczeń przyjrzymy się bliżej w następnej części artykułu.

¹) Należy pamiętać, iż wyciek informacji do zasobów Internetu widocznych przez typowe przeglądarki internetowe to jedno. Większym zagrożeniem jest Darknet, czyli ukryta sieć zapewniająca anonimowość jej użytkowników (ToR). Tak przynajmniej głosi wiele jej definicji. Na ile Darknet jest anonimowy i na ile potrafi być niebezpieczny, pewnie niewiele osób będzie miało się okazję przekonać, gdyż nigdy z niego nie skorzysta.