Jak firmy dbają o bezpieczeństwo swoich systemów informatycznych?

Autor tekstu Ewa Bartnik
Opublikowano 12 kwietnia 2012
Kategoria Artykuły
Czas czytania: 4 min

Rozwój technologii informacyjnych daje przedsiębiorcom niemal nieskończone możliwości. Obecność firmy w sieci pozwala dotrzeć do niej całym rzeszom odbiorców, a nowoczesne kanały komunikacji w połączeniu ze szczegółowym targetowaniem są tym, o czym marketerzy mogli kilka lat temu tylko marzyć. Jest jednak i druga strona medalu: wraz z szybkim rozwojem branży IT, obserwujemy lawinowy wzrost zagrożeń, na które narażone są firmowe systemy informatyczne, a w nich informacje poufne i handlowe.

Cyberprzestępcy wynajdują coraz to nowe środki, by pokazać, że w sieci nie można czuć się bezpiecznie, a użytkownicy – czyli potencjalni odbiorcy oferty firmy – stają się coraz bardziej podejrzliwi. Stale zaostrzane i coraz częściej skutecznie egzekwowane przepisy prawa zmuszają właścicieli firm do przedsięwzięcia odpowiednich środków bezpieczeństwa.

Duże przedsiębiorstwa, dla których marka jest dobrem bardzo wysoko cenionym, doskonale rozumieją zagrożenia, jakie niosą ze sobą skomplikowane rozwiązania teleinformatyczne stosowane w systemie korporacyjnym czy firmowej witrynie internetowej, która pełni często także funkcję serwisu transakcyjnego. Co warte uwagi – ewentualne konsekwencje zaniedbań w zakresie bezpieczeństwa przeliczają na realne pieniądze. W badaniu Ernst & Young, przeprowadzonym wśród 1700 firm z 52 krajów świata, ponad połowa respondentów zadeklarowała, że na ochronę danych zamierza przeznaczyć teraz więcej pieniędzy, niż w roku ubiegłym.

Jak pozorne oszczędności na systemach zabezpieczeń mogą odbić się na wizerunku firmy? Za przykład mogą posłużyć wycieki danych oraz liczne ataki hakerów. Wystarczy przytoczyć przykład firmy Sony, która całymi miesiącami zmagała się z konsekwencjami ataku, w wyniku którego do rąk przestępców trafiło blisko 100 milionów nazwisk, e-maili, adresów zamieszkania i numerów telefonów. Doprowadziło to do zamknięcia dużej części usług, co przyniosło przedsiębiorstwu ogromne straty. Inne, niemniej ciekawe przypadki oraz ich skutki opisano w raporcie Bezpieczeństwo w Internecie, wydanym w lutym bieżącego roku przez Interaktywnie.com. Okazuje się, że sytuacja kryzysowa związana z wyciekami danych nie ominęła także polskich serwisów – musiały się z nią zmierzyć m.in. Allegro, Wykop oraz Filmweb.

W tym miejscu powstaje pytanie o jakość stosowanych zabezpieczeń oraz stopień ich wiarygodności. Na rynku dostawców tego typu rozwiązań istnieje duża konkurencja i każdy chce się w jakiś sposób wyróżnić. Jedni inwestują w najnowsze technologie i starają się wyprzedzać pomysłowość cyberprzestępców. Inni natomiast robią wszystko, by zminimalizować cenę swoich produktów, co niestety bardzo negatywnie odbija się na ich skuteczności. Swego czasu głośno było o włamaniu do systemu Centrum Certyfikacji DigiNotar, wskutek którego sfałszowano ponad 500 różnych certyfikatów SSL dla najpopularniejszych serwisów internetowych. Po tym wydarzeniu firma została usunięta z bazy zaufanych dostawców przez Mozilla Foundation, ponieważ okazało się, że nie stosowała prawidłowo procedur i mechanizmów zabezpieczających.

Innym problemem z zakresu bezpieczeństwa informacji w przedsiębiorstwach jest tzw. konsumeryzacja. Zjawisko to polega na wykorzystywaniu w celach zawodowych swoich prywatnych urządzeń – komputerów, tabletów czy smartfonów. Oznacza to, że pracownicy używają ich zarówno do pracy, jak i komunikacji w sferze prywatnej, a także rozrywki. Bardzo trudno w takich sytuacjach egzekwować firmową politykę bezpieczeństwa, a dział IT nie ma w takim przypadku możliwości pełnej kontroli nad tym, co dzieje się z ważnymi informacjami firmowymi. Według przeprowadzonego w styczniu badania The Insecurity of Privileged Sers, aż 52% kierowników działów bezpieczeństwa IT dopuszcza możliwość, że w ich firmach dostęp do poufnych danych mogą uzyskać osoby nieuprawnione.

Mogłoby się wydawać, że zaawansowane procedury bezpieczeństwa dotyczą tylko dużych korporacji, banków czy instytucji państwowych. Niestety, takie myślenie jest błędem. W tej chwili wszystkie firmy, zarówno te duże, jak i małe, przyłączone są do jednej, globalnej sieci. Co istotne – wszystkie firmy w Polsce podlegają temu samemu prawu, które wyznacza standardy ochrony danych, szczególnie danych osobowych, w systemach teleinformatycznych. Ustawa o ochronie danych osobowych stawia takie same wymagania właścicielowi małego sklepu internetowego, co administratorowi dużego portalu. Co prawda, w szczegółach zabezpieczenia te będą się różnić, jednak podstawowe założenia są takie same dla wszystkich.

Oto niektóre z nich:

  1. Według Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 roku, w każdym systemie teleinformatycznym połączonym z siecią publiczną, obowiązuje tzw. wysoki poziom bezpieczeństwa – wymaga on stosowania szeregu środków ochrony danych, które szczegółowo opisane są w Załączniku do w/w Rozporządzenia.
     
  2. Każdy zbiór danych osobowych osób fizycznych podlega rejestracji w Biurze Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Rejestracja ta wymaga od administratora m.in. dokładnego opisania i scharakteryzowania zbioru oraz opracowania i stosowania polityki bezpieczeństwa informacji.
     
  3. Każda witryna firmowa, na której dostępny jest formularz www służący do zbierania danych osobowych, powinna stosować zabezpieczenie transmisji danych (np. certyfikat SSL), które uniemożliwi osobom nieuprawnionym dostęp do informacji podczas ich przesyłania.

Oczywiście to tylko wybrane obowiązki, jakie polskie prawo nakłada na firmy działające w sieci. Więcej na ten temat można przeczytać we wspomnianym już raporcie Bezpieczeństwo w Internecie, który powstał przy wsparciu i współpracy firmy Unizeto Technologies SA. Można się z niego dowiedzieć m.in. tego, jak powinno wyglądać przetwarzanie danych osobowych w sklepie internetowym, co powinna zawierać polityka bezpieczeństwa informacji, a także czy i w jakim celu warto stosować w swojej firmie rozwiązania z zakresu e-bezpieczeństwa – podpis elektroniczny, certyfikaty SSL czy nowoczesne środki zabezpieczające korespondencję elektroniczną.

Pełny raport można za darmo pobrać tutaj:

Regularnie otrzymuj powiadomienia o nowych materiałach. Dołącz do grupy ponad 6500 osób, którzy prenumerują eKomercyjnie!