Ale mimo że nagłaśniane są przede wszystkim naruszenia bezpieczeństwa informatycznego w systemach publicznych, nie ma wątpliwości, że ogólnie bezpieczeństwo informatyczne – a w szczególności ochrona danych – jest stałym problemem przedsiębiorstw na całym świecie.

W każdej organizacji dane są drugim najcenniejszym zasobem, zaraz po pracownikach. Niestety, wraz z pojawieniem się nielegalnych aukcji, na których sprzedaje się informacje osobiste, na takich „przedsięwzięciach” można zarobić duże pieniądze. A przez to zagrożenie ze strony oszustów jest cały czas poważne.

Bezprawne wtargnięcia

Jakikolwiek element informacji o charakterze osobowym, na przykład loginy do sieci oraz nazwiska i informacje o pracownikach, mogą umożliwić nieuprawnione wejście do sieci i otworzyć przed przestępcą drzwi do skarbnicy informacji. Dane te mogą być sprzedane najwyżej licytującemu w przetargu lub wykorzystane bezpośrednio do wejścia do krytycznych baz danych firm, zawierających informacje finansowe, gospodarcze lub dane klientów. I to w tym obszarze powstają największe szkody. Ponieważ obecnie powszechnie są atakowane firmy niezależnie od wielkości i rodzaju działalności, zapobieganie zagrożeniom wymaga stosowania właściwych mechanizmów zapobiegawczych.

Ponieważ ustawodawcy zaczynają coraz surowiej traktować kradzieże tożsamości, techniki ataków również ewoluują. Współcześni cyberprzestępcy działają inteligentnie. Brutalna „kradzież z włamaniem” do sieci bez wątpienia zwróci uwagę służb informatycznych firmy i spowoduje szybkie działania naprawcze. Znacznie lepiej jest dostać się do sieci niezauważenie i skopiować z niej cenne dane finansowe i o klientach, zanim przedsiębiorstwo zda sobie sprawę z tego, że pada ofiarą ataku.

A jak najprościej dostać się do sieci? Przez pracownika. Niezależnie od tego, czy ściąga on niedopuszczalne programy z Internetu, odpowiada na pozornie zasadną prośbę o podanie hasła pocztą elektroniczną czy tylko nieodpowiednio chroni informacje potrzebne do logowania się w sieci, zagrożenia płynące ze strony własnego personelu firm mogą być duże.

Spójrzmy na niedawną wpadkę służby celnej i podatkowej HMRC w Wielkiej Brytanii. Stracono 25 milionów rekordów danych, wcale nie w drodze złośliwego ataku, a przez niezamierzony, choć lekkomyślny błąd. W tym wypadku pracownik niskiego szczebla wysłał niezaszyfrowany dysk zawierający nazwiska, adresy i informacje o rachunkach bankowych milionów rodzin w Wielkiej Brytanii przesyłką kurierską. Dysk, a także kolejny wysłany później, zaginął w drodze – co wywołało burzę w mediach podsycających panikę i zachęciło ponad milion osób do zmiany haseł dostępu do rachunków bankowych i kodów PIN.

To konkretne zdarzenie jest przykładem niezadziałania polityki bezpieczeństwa na styku infrastruktury przetwarzania danych i fizycznego przemieszczania danych. Warto także przy tej okazji zauważyć, że kompletna baza danych (25 milionów rekordów!) znalazła się na dyskach, czyli i cała zaginęła, dlatego, że system nie był w stanie określić, jaki podzbiór danych należy przesłać. Innymi słowy, lepsza polityka określałaby, że należy z bazy danych wybrać tylko niezbędne rekordy i je przesłać, dzięki czemu w razie utraty informacji sytuacja byłaby znacznie mniej bolesna i uniknięto by narażenia danych tak wielu milionów ludzi na wykorzystanie w celach przestępczych.

Rozległość problemu, przed którym stoją obecnie firmy, powoduje, że w większości krajów wprowadzono odpowiednie przepisy – na przykład w Wielkiej Brytanii ustawę o ochronie danych – wymagające, aby urzędy przestrzegały pewnych norm „higieny” danych oraz zapewniania ich ochrony i bezpiecznego przetwarzania. Ich złamanie może pociągać za sobą konsekwencje karne, utratę wiarygodności i gniew klientów. W grudniu 2007 roku firma ubezpieczeniowa Norwich Union została ukarana rekordowej wysokości karą 1,26 miliona funtów za to, że nieszczelność zabezpieczeń w jej centrach telefonicznej obsługi klientów umożliwiła oszustom dostęp do danych osób ubezpieczonych, co spowodowało narażenie prawie siedmiu milionów klientów na możliwość poniesienia strat finansowych.

Oczywiście prawdziwego kosztu kradzieży tożsamości nie da się wyrazić w samym pieniądzu, choć według niektórych szacunków w samej Wielkiej Brytanii określa się go na 1,7 miliarda funtów rocznie. Ale w takich szacunkach należy również uwzględniać uszczerbek reputacji, który znacznie trudniej jest skwantyfikować, choć może nawet doskonale prosperującą firmę doprowadzić do upadłości.

Mając przed sobą takie perspektywy, co firmy powinny robić, by chronić siebie, pracowników i klientów? I jak, dążąc do zapewnienia pełnej ochrony sieci, mają doprowadzić do tego, by inwestycje w infrastrukturę w tym zakresie zwiększały także wydajność i sprawność pracy?