Poufne dane organizacji, strategie działania, dane klientów, tajemnice przedsiębiorstwa, a także informacje niejawne to łakomy kąsek dla konkurencji, a nawet rządów obcych państw. CEO powinien wiedzieć, że wraz ze wzrostem organizacji interesują się nią nie tylko różnej maści przestępcy, ale przede wszystkim firmy, które z nią konkurują.
Szpiegostwo korporacyjne/gospodarcze to przestępstwo w polskim porządku prawnym (np. jeśli zostanie popełnione na terytorium RP). W zależności od sposobu działania może przybrać ono dwie formy.
Pierwszą jest atak od wewnątrz. Schemat działania jest prosty: to pracownik-kret wynosi informacje na zewnątrz. Jest to nieetyczna praktyka, niestety występująca dość często.
Drugą jest atak z zewnątrz. Tutaj nie ma pracownika-kreta. Przełamywane są natomiast zabezpieczenia po to by systematycznie wykradać informacje albo na urządzeniach pracowników instalowane są programy szpiegujące, których zadaniem jest przesyłać co jakiś czas określone informacje do sprawcy.
Szpiegostwo korporacyjne jest karalne. Ale tylko wtedy gdy znajdziemy sprawcę i mamy dowody, że dopuścił się przestępstwa. Najczęściej sprawca dobiera następujące metody działania:
1. Bezprawnie wykorzystuje tajemnicę państwową
Czyli wynosi informacje o klauzuli “tajne” lub “ściśle tajne”, sprzedaje je na zewnątrz.
Zgodnie z art. 265 § 1 Kodeksu Karnego (dalej jako “KK”)
Kto ujawnia lub wbrew przepisom ustawy wykorzystuje informacje niejawne o klauzuli „tajne” lub „ściśle tajne”, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
2. Bezprawnie wykorzystuje powierzone mu w tajemnicy informacje
Pracownicy mający dostęp do wrażliwych danych przedsiębiorstwa (np. strategia działania, dane klientów etc.) powinni zostać upoważnieni do przetwarzania takich danych oraz podpisać zobowiązanie do zachowania tajemnicy. Jeśli złapiemy ich na gorącym uczynku to dopiero wtedy można zarzucić im przekroczenie uprawnień i dopuszczenie się popełnienia przestępstwa.
Zgodnie z art. 266 § 1 KK:
Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
3. Uzyskuje bezprawny dostęp do informacji dla niego nieprzeznaczonych
Zgodnie z art. 267 KK:
§ 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
§ 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizual- nym albo innym urządzeniem lub oprogramowaniem.
§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1–3 ujawnia innej osobie.
Karać czy zabezpieczać?
Z punktu widzenia organizacji kluczowym jest zabezpieczenie/ochrona informacji przed działaniami szpiegowskimi. To na prewencji powinna skoncentrować się Twoja organizacja. Bo jak ktoś wykradnie informacje organizacja zawsze będzie na tym stratna.
Ale jak ta prewencja ma wyglądać?
Poziom zabezpieczeń powinien być dostosowany do rodzaju przetwarzanych informacji. Nie chodzi zatem o to, aby wprowadzać najdroższe zabezpieczenia, ale o to by zastosowane zabezpieczenia były adekwatne do informacji, które chronią. Skupiamy się nie tylko na infrastrukturze teleinformatycznej, ale także na sposobach przetwarzania informacji w szerokim tego słowa znaczniu jak i edukacji pracowników. Bo tylko złożone podejście do ochrony informacji jest skuteczne.
Posłużę się drobnym przykładem z bazą danych klientów w odniesieniu do bezpiecznego sposobu przetwarzania informacji. Baza danych klientów wraz z informacjami dotyczącymi leadów (osób mających konkretny problem biznesowy, które zainteresowane są podjęciem rozmów z działem sprzedaży), negocjacji, złożonych zamówień, badaniem poziomu satysfakcji z obsługi, udzielonych rabatów, mierzeniem ilości poleceń etc. zawsze powinna być rozdzielona.
Co to oznacza?
Pracownicy mają pracować na fragmentarycznych danych. W mojej opinii, tylko dyrektor sprzedaży i marketingu oraz ich grupy mogą mieć dostęp do większej ilości danych i je badać. Czy do wszystkich? Nie do wszystkich. Tylko do takich, które są im potrzebne do jak najlepszego wykonania ich pracy. To CEO powinien zbierać informacje od nich w jedną całość, następnie przedstawiać te dane i strategie działania zarządowi.
Uwaga! Dyrektorzy poszczególnych działów muszą nadzorować pracę swoich pracowników. To oni bowiem pracują na danych jako pierwsi. W związku z tym powinni oni otrzymać jasne wytyczne dotyczące bezpiecznego przetwarzania danych. Jedną z takich wytycznych może być uniemożliwienie pracy na danych poza organizacją, możliwość pracy wyłącznie w chmurze prywatnej (postawionej i zarządzanej przez dział IT organizacji) albo w uzasadnionych przypadkach na własnych urządzeniach bądź chmurze publicznej.
Każdy pracownik powinien wiedzieć jak może bezpiecznie wykonywać swoją pracę. Jeśli przetwarza dane strategiczne to tym bardziej! Dane strategiczne są jak materiał wybuchowy. Są cenne, a ich kompromitacja (ujawnienie/wyciek/kradzież) zadaje cios Twojej organizacji. Jeżeli pracownicy nie otrzymają wytycznych od swojego szefa i nie będą z nich rozliczani to ich praca staje się niebezpieczna dla Twojej firmy.
Oto co się dzieje gdy procedury bezpieczeństwa nie są przestrzegane:
5 kluczowych pytań, które powinien zadać sobie CEO
1. W jaki sposób kadra kierownicza informuje o obecnym poziomie cyberzagrożeń i ich wpływie na funkcjonowanie przedsiębiorstwa?
2. Jaki jest obecny poziom zabezpieczeń w organizacji? Jak wygląda postępowanie poincydentalne? (wdrażane by zminimalizować straty ataku oraz by ustalić jego przyczynę)
3. Jak działają wytyczne bezpieczeństwa i inne standardy bezpieczeństwa wdrożone w organizacji?
4. Ile i jakiego rodzaju incydentów występuje w tygodniu? Jak szybko są one wykrywane? Co jest ich przyczyną? Jak bardzo są one niebezpieczne? Czy mogą być związane z innymi cyberatakmi, podatnościami albo cyberzagrożeniami? Kiedy informowany jest o nich Zarząd?
5. Czy posiadamy plan reagowania na incydenty? Czy wiemy jak utrzymać ciągłość działania przedsiębiorstwa jeżeli dojdzie do wystąpienia określonego rodzaju cyberataków?
Jako CEO odpowiadasz przed Zarządem. Odpowiadasz za organizację. Czy należycie ją chronisz? Odpowiedz na powyższe 5 pytań i sam się przekonaj.
Autor grafiki promującej wpis: Robert Abramski