Dane coraz częściej określane są mianem kluczowego surowca XXI wieku. Stanowią paliwo napędzające cyfrową gospodarkę, dlatego ich bezpieczeństwo jest priorytetem w wielu firmach i organizacjach. Niestety czasami dochodzi do ich utraty lub zniszczenia. I nie zawsze jest to wina urządzenia lub oprogramowania, czasami „cyfrowe skarby” trafiają w niepowołane ręce w wyniku nieuwagi lub roztargnienia pracownika.
Pewnego dnia pracownik naukowy jednej z warszawskich uczelni jechał autem do pracy, gdy nagle poczuł dziwne zachowanie pojazdu. Okazało się, że podczas jazdy z tylnej opony uszło całe powietrze. Gdy kierowca próbował wyciągnąć koło zapasowe z bagażnika, do samochodu podszedł pewien jegomość. Raptownie otworzył drzwi, chwycił torbę z laptopem oraz pozostawione na tylnym siedzeniu inne wartościowe przedmioty i zaczął z nimi uciekać w stronę oczekującego na niego pojazdu. Cała akcja trwała kilka sekund i jak się później okazało była dokładnie zaplanowana. Złodziei skusiły pozostawione w aucie przedmioty, dlatego niepostrzeżenie przebili oponę na parkingu. Dalsze wypadki potoczyły się zgodnie z założonym przez nich scenariuszem: śledzenie samochodu, zatrzymanie w celu wymiany koła, szybka kradzież i ucieczka z miejsca zdarzenia. Przebita opona, utrata wartościowych rzeczy oraz prywatnego laptopa to nie wszystkie straty tego dnia. Naukowiec uświadomił sobie, że w ręce przestępców wpadły dane osobowe kandydatów na studia, które od dłuższego czasu, bez wiedzy i zgody uczelni, przechowywał na swoim komputerze. Jego obowiązkiem w takiej sytuacji była konieczność zgłoszenia utraty wrażliwych informacji do inspektora ochrony danych na uczelni. Po kliku dniach od zajścia zdarzenia na stronie uczelni pojawił się oficjalny komunikat, w którym poinformowano o całym incydencie.
Wkrótce policja zatrzymała podejrzanych o kradzież obywateli Gruzji, którzy wyspecjalizowali się w dokonywaniu podobnych kradzieży metodą „na kolec”. Laptop po usunięciu wszystkich danych trafił zapewne do jednego z warszawskich lombardów. Przestępcy nie mieli pojęcia, do jakich informacji mieli w tym czasie dostęp. Jak pokazuje powyższy przypadek, naruszenie bezpieczeństwa informacji, które w obecnych czasach najczęściej utożsamiamy z atakiem hakerskim, może być także spowodowane przez pospolitych przestępców.
Naruszenia bezpieczeństwa informacji występowały zanim jeszcze komputery na stałe pojawiły się na każdym biurku. Pierwsze incydenty miały zazwyczaj postać utraty lub wycieku danych. Były one rezultatem zgubienia lub kradzieży dokumentów, ujawnienia osobie nieupoważnionej poufnych informacji lub ich przypadkowego upublicznienia. Jeszcze 50 lat temu jednym z głównych przykazań bezpieczeństwa każdego pracownika było niewynoszenie żadnych dokumentów poza miejsce pracy. Kłóciło się to jednak z innymi wytycznymi: „praca w godzinach nadliczbowych w miejscu pracy jest niedozwolona”. Terminy goniły, sterty kartek na biurkach rosły, dzieci w domu płakały. Aby jakoś pogodzić to wszystko, pracownicy często decydowali się na nadgonienie zaległości podczas nieoficjalnej pracy w domu. Jest to oczywiście niedopuszczalne z punktu widzenia bezpieczeństwa informacji, ale co zrobić, jeśli wszystkie faktury są do opisania „na wczoraj”? Dopóty nie będzie żadnego problemu, dopóki wszystko będzie zrobione na czas oraz nic nie zostanie zgubione, zniszczone lub skradzione. Pracodawca, nawet jeśli był świadomy, że taki proceder ma miejsce, często przymykał na niego oko. Jednak działo się tak jedynie do czasu. Gdy wydarzył się z tego powodu jakiś poważny incydent, takie zachowanie było piętnowane i uznawane za niedopuszczalne. Czasy się zmieniają, a owe problemy pozostają. Wszystko to, co kiedyś zalegało na biurku, teraz zakrywa nam cały pulpit. Zamiast wszystko drukować (choć nadal się to zdarza), wolimy skopiować pliki na pendrive’a, przesyłać do chmury, wysyłać pocztą e-mail albo w ostateczności zabierać służbowego laptopa do domu. „Wędrujące” w ten sposób dane i sprzęt w połączeniu z niedostatecznie świadomym użytkownikiem są nieustannym zagrożeniem dla firm.
Obecnie firmy, zatrudniając pracowników umysłowych, albo zapewniają im służbowy komputer/laptop oraz telefon, albo stosują politykę BYOD (praca na sprzęcie prywatnym, z ang. Bring Your Own Device). W przypadku urządzeń służbowych zwykle nie wyklucza się ich okazjonalnego wykorzystania do celów prywatnych. Jednak takie podejście, po pewnym czasie, często powoduje zatarcie tego rozróżnienia. Pracownik zaczyna traktować otrzymany sprzęt jak swój i niejednokrotnie rezygnuje z prywatnego, aby np. nie nosić dwóch telefonów i zaoszczędzić na rachunkach. Zapomina tym samym, że sprzęt służbowy nie jest de facto jego własnością. Może zajść również sytuacja odwrotna – swój sprzęt prywatny traktuje jako służbowy. Dzieje się tak na przykład dlatego, że komputer w pracy ma zwykle wiele ograniczeń np. brak uprawnień administratora, brak możliwości odtwarzania plików multimedialnych lub ograniczony katalog dostępnych na urządzeniu stron internetowych. Innym powodem może być częste zabieranie pracy do domu lub fakt, że sprzęt służbowy działa wolniej od prywatnego. Wystarczy tylko przenieść wszystkie dane i zainstalować niezbędne programy, aby prywatny laptop był gotowy do pracy. Jest to o tyle niebezpieczne, że sprzęt ten nie jest monitorowany, a tym bardziej zabezpieczony przez dział IT. Czy według użytkowników takie postępowa - nie jest bezpieczne? Paradoksalnie tak. W przypadku gdy pracownik korzysta ze sprzętu służbowego, jest przekonany, że nie odpowiada za jego bezpieczeństwo. Zrzuca on całą odpowiedzialność w tej kwestii na działy bezpieczeństwa lub IT. Natomiast w przypadku gdy używa własnego sprzętu, zazwyczaj uważa, że nie jest on atrakcyjnym celem dla hakera i nikt go nie zhakuje, więc jest bezpieczny. Zarówno jedno, jak i drugie podejście do sprawy daje pracownikowi iluzoryczne poczucie bezpieczeństwa. Takie myślenie sprawia, że nie jest on świadomy faktu, że to on stanowi pierwszą linię obrony przed hakerami.
Działy bezpieczeństwa i IT ustawiają filtry antyspamowe, konfigurują zapory sieciowe i inne zabezpieczenia, jednak to nie one są najważniejszym czynnikiem decydującym o bezpieczeństwie firmy. Większość ataków hakerskich zaczyna się od zabiegów socjotechnicznych wymierzonych w użytkowników – stąd tak ogromna liczba kampanii phishingowych. Decyzja przeciętnego użytkownika o tym, czy otworzyć dany email, czy kliknąć w załącznik i czy podać swoje dane uwierzytelniające na wyświetlonej stronie, jest kluczowa dla powodzenia ataku. Zabezpieczenia techniczne to obecnie kwestia drugorzędna. Dlaczego tak się dzieje? Mechanizmy bezpieczeństwa stają się coraz bardziej skomplikowane, coraz trudniejsze do zhakowania i obejścia. Oczywiście nie są (i nigdy nie będą) remedium dla zagrożeń stwarzanych przez hakerów. Utrudniają one cały proces przełamywania zabezpieczeń, minimalizują ryzyko, jednak nie niwelują go całkowicie. Dlatego aby zwiększyć szanse powodzenia ataku, przestępcy celują w najsłabsze ogniwo w całym łańcuchu zabezpieczeń, którym od dawien dawna jest użytkownik. Może on nieświadomie „wpuścić” hakerów do sieci wewnętrznej. To znacznie ułatwi napastnikom zadanie, bo tak jak i w życiu zazwyczaj najsolidniejsze zamki mamy przy drzwiach zewnętrznych. Oczywiście pracownik nie ułatwia hakerom pracy świadomie. Po prostu nie wie, jak „od środka” działają komputery i mechanizmy zabezpieczeń. Korzysta on z komputerów oraz systemów informatycznych jak z narzędzi do wykonywania swojej codziennej pracy. O ile nie jesteśmy mechanikiem samochodowym, nie zastanawiamy się, jak działają nasze „cztery kółka” – nie jest to nam potrzebne do kierowania nimi. Hakerzy wykorzystują brak tej świadomości, skłaniając użytkownika do wykonania na pozór niegroźnej akcji, jak np. otwarcie pliku lub wyświetlenie strony, która w rezultacie pozwoli mu na ominięcie sporej liczby ograniczeń. Z tego też powodu edukacja użytkownika jest kluczowa do zwiększenia bezpieczeństwa organizacji. Jest ona również poważnym wyzwaniem.
Niezwykle trudno jest przekonać użytkowników do skrupulatnej weryfikacji maili i innych bezpiecznych zachowań, podczas gdy nie robią tego w przypadku swoich własnych urządzeń. Firmy starają się zwykle budować świadomość zagrożeń u pracowników tylko w kwestiach bezpośrednio związanych z pracą. Na takich szkoleniach często słyszy się zdania pokroju: „jak klikniesz zainfekowany załącznik, narazisz pracodawcę na straty”. To zdanie pojawia się zazwyczaj w towarzystwie informacji o ogromnych wyciekach danych, wyrafinowanych atakach hakerskich oraz ogromnych stratach z nich wynikających. Połączenie ich z wspomnianym wcześniej nastawieniem użytkownika do bezpieczeństwa z pewnością nie zmieni aktualnego stanu rzeczy. Utwierdzi go to raczej w przekonaniu, że hakerzy atakują tylko firmy a nie pojedyncze jednostki – a to nie prawda! Przytoczone incydenty nigdy nie będą tak bardzo na niego oddziaływać jak studia przypadku, w których hakerzy ukradli oszczędności życia „szarego Kowalskiego”. Pracownikowi bardziej niż na zabezpieczeniu przed hakerami pracodawcy zależy na ochronieniu przed cyberprzestępcami swoich bliskich i swoich oszczędności na koncie bankowym. Oczywiście ta tematyka odbiega od celów biznesowych pracodawcy, jednak powoduje, że użytkownicy uświadamiają sobie istnienie cyberzagrożeń. Dzięki niej poczują się oni zmotywowani do zgłębiania tematu, dostrzegą potrzebę zabezpieczenia siebie i swoich bliskich, obserwowania zmian i ciągłego doszkalania się. Takie nastawienie trzeba ciągle pielęgnować i podtrzymywać, żeby zwiększyć efektywność edukacji.
Aby szkolenia dla pracowników przynosiły zadawalające efekty, należy zacząć od podstaw. Błędne zrozumienie bazowych pojęć i terminów będzie nawarstwiało się wraz ze zdobywaniem nowej wiedzy. Czasami może ono nawet spowodować niechęć do stosowania jakichkolwiek mechanizmów bezpieczeństwa, co pokazał mi przykład pewnego użytkownika. Podczas podsumowania jednego ze szkoleń dla pracowników, radziłem jego uczestnikom, aby regularnie wykonywali kopie zapasowe swoich ważnych plików. Miałby być one umieszczone w innym miejscu niż oryginalne dane. Później w czasie rozmowy w kuluarach zupełnie przypadkowo okazało się, że jeden z uczestników nie zamierza stosować tej wskazówki. Argumentował to, mówiąc, że kiedyś zawsze wykonywał backupy na dysku D, a wszystkie oryginalne pliki trzymał na C. Raz przypadkowo upuścił laptopa powodując fizyczne uszkodzenie dysku zawierającego system operacyjny. Z racji używania w pracy swojego prywatnego sprzętu musiał oddać go, na własną rękę, do serwisu. Po wymianie dysku na nowy i ponownym zainstalowaniu systemu nie znalazł on jednak swoich plików. To zdarzenie utwierdziło go w przekonaniu, że nie warto wykonywać kopii zapasowych swoich danych. Nie był on świadomy, że dyski C i D mogą być jednym, podzielonym na dwie logiczne części, dyskiem twardym. Druga osoba natomiast z dumą twierdziła, że na szkoleniu nie było dla niej nic nowego, bo wszystkie rady zna i chociażby od dawna robi „backupy” w osobnym folderze na pulpicie tego samego komputera. Uczestnicy szkoleń często boją się pytać o rzeczy uznawane za najprostsze. Według nich mogłoby to w oczach pozostałych świadczyć o ich niekompetencji. O wiele bardziej prawdopodobne natomiast jest zadawanie pytań odnośnie nieznanych i mniej trywialnych aspektów. Dlatego tego typu edukacja powinna zawsze zaczynać się od zbudowania solidnych podstaw i wytłumaczenia możliwie jak najprostszymi słowami nawet tych „oczywistych” terminów.
Wspomniana wcześniej motywacja i uświadomienie to jednak nie wszystko. Wiedza to jedno, jej praktyczne wykorzystanie i stosowanie to zupełnie coś innego. Możemy wiedzieć, co to jest phishing, pamiętać o kluczowych elementach umożliwiających jego zidentyfikowanie, a mimo to otwierać wszystkie wiadomości i załączniki oraz klikać we wszystkie zawarte w nich linki. Ponadto gdy przypomnimy sobie przytoczoną na początku historię, dostrzeżemy, że szkolenie z bezpieczeństwa przyniosło jakiś efekt – pracownik uczelni przyznał się do tego jakie dane „chomikował” na swoim dysku. Jednak czy o taki efekt chodziło? Dlatego niezwykle ważne jest budowanie dobrych nawyków u pracowników. Motywacja pozwoli im wkroczyć na dobrą ścieżkę, natomiast nawyk utrzyma ich na właściwym kursie. Będzie to bardzo trudne na początku, gdyż teraz korzystają oni z utartych schematów, które często stoją w opozycji do bezpiecznego używania sprzętu. Jednak wysiłek włożony w edukację jest warty swojej ceny. Początkowo pracownik przestraszy się hakerów. Zabezpieczy on dzięki temu swój komputer, na którym być może „przypadkiem” znajdują się dane służbowe. Wiedząc, jak działają hakerzy, będzie on dokładniej weryfikować e-maile, aby nie stracić swoich oszczędności – zarówno w pracy, jak i w domu. Na komputerze służbowym przecież też zdarza mu się wykonywać operacje na swoim koncie bankowym – jeżeli pozwoli na zhakowanie komputera służbowego narazi on również swoje oszczędności. Gdy zobaczy, jak wiele od niego zależy, po czasie zrezygnuje z brania na siebie odpowiedzialności za dane służbowe i ograniczy ich przetwarzanie na swoim prywatnym sprzęcie. Bezpieczeństwo to proces, tak samo jak edukacja. Dlatego warto pomyśleć o tym zawczasu, a nie gdy będzie na to za późno.
