Kradzież danych - jak się ustrzec
2005-03-06 11:43
Przeczytaj także: Phishing - kradzież danych w Internecie
Śmieciarz? Nie, hacker.
Mało kto wie, że Kevin Mitnick, jeden z najsłynniejszych hackerów świata zaczynał... od grzebania w śmieciach. W 1981r., jako siedemnastolatek, postanowił wspólnie z dwójką kolegów włamać się do głównego komputera firmy telekomunikacyjnej Pacific Bell. Cała trójka już wcześniej penetrowała pojemniki na śmieci Pacific Bell, dzięki czemu nauczyła się wszystkiego, co było zawarte w podręcznikach technicznych i listach pracowników przedsiębiorstwa. Kiedy już wiedzieli o firmie wystarczająco dużo, postanowili zdobyć kody, które umożliwiałyby im praktycznie swobodny dostęp do systemów komputerowych Bella. W pewną niedzielę Kevin z kolegami po prostu przyszli do budynku Pacific Bell, podając się za autentycznych pracowników (znali przecież nazwiska), wpisali się do księgi i najzwyczajniej w świecie weszli do środka. Po godzinie wyszli z budynku objuczeni cennymi podręcznikami (dotyczącymi m.in. systemu COSMOS, który był bazą danych używaną przez kilka amerykańskich firm telekomunikacyjnych), listami kodów do cyfrowych zamków i innymi przydatnymi informacjami.
Kiedy po latach zapytano Mitnicka, co by zrobił, aby dostać się do systemu jakiejś firmy, odpowiedział, że zajrzałby do śmieci. „Od tego byłoby dobrze zacząć. Można dowiedzieć się czegoś o przedsiębiorstwie, znaleźć schemat organizacyjny. Pod koniec lat 70-tych i na początku 80-tych zawsze przesiewałem śmieci przedsiębiorstw telefonicznych. W 1981r. znalazłem w śmieciach hasła do jednego z najlepiej strzeżonych komputerów. Wydruk był podarty, ale ileż to roboty skleić go w całość. Reszta to już pestka...”
Zniszczone jak w banku
Francuska firma badawcza Socio Logiciels we wrześniu ubiegłego roku przeprowadziła badania wśród menedżerów i właścicieli małych firm. Miały odpowiedzieć na pytanie, jak postępują oni z ważnymi dokumentami zawierającymi poufne informacje. Okazało się, że 31% spośród badanych usuwa dokumenty przy pomocy niszczarek. Najczęściej można je spotkać przy biurkach pracowników banków (51%) a najrzadziej w gabinetach lekarskich (9%). Bankowcy są najbardziej wyczuleni na efektywne niszczenie dokumentów papierowych, z kolei płyty CD starają się niszczyć przede wszystkim doradcy finansowi (36%) i menedżerowie działów HR (33%). Ponad połowa badanych (51%) zna profesjonalne urządzenia do niszczenia płyt CD. A jak jest w Polsce? Dotąd nikt nie przeprowadził u nas tak precyzyjnych badań. Można jednak stwierdzić, że Polacy coraz poważniej traktują problem bezpieczeństwa swoich dokumentów. Świadczy o tym wzrastająca z roku na rok liczba niszczarek w polskich biurach. Jak podaje światowy lider w produkcji tych urządzeń, amerykańska firma Fellowes, każdego roku sprzedaje się ich w Polsce od 30 do 40% więcej.
Dziewięcioro przykazań
Analiza przypadków kradzieży danych posłużyła lubiącym procedury Amerykanom do sformułowania listy zasad, których przestrzeganie może w znacznym stopniu ustrzec nas przed kradzieżą danych.
1. Po biurze bez nadzoru nie powinny spacerować osoby z zewnątrz. Nie wolno ich wpuszczać do stref szczególnie chronionych. Pracownik zatrudniony wewnątrz takiej strefy i zamawiający np. pizzę musi sam wyjść po jej odbiór na zewnątrz.
2. W firmie koniecznie trzeba mieć niszczarki papieru. Bezzwłocznie należy wrzucać do nich wszystkie niepotrzebne już wydruki poufnych projektów, raportów itp. Warto również korzystać z profesjonalnych firm zajmujących się niszczeniem dokumentów.
3. Zasada "czystego biurka": wychodząc z pokoju nie należy zostawiać na wierzchu żadnych dokumentów.
4. Podczas delegacji nie wolno zostawiać dokumentów lub laptopa w hotelu. W ogóle nie wolno zostawiać ich w samochodzie.
5. Rozmowy dotyczące strategicznych spraw dla firmy mogą być prowadzone tylko w bezpiecznych, sprawdzonych miejscach. Nie powinny się odbywać w obecności osób przypadkowych, np. na prezentacjach, targach czy w restauracjach.
6. Komputery, na których przechowujemy "wrażliwe" informacje powinny być odłączone od sieci, lub dodatkowo zabezpieczone, a osoby na nich pracujące powinny mieć obowiązek częstej zmiany haseł, stosowania programów antywirusowych. oraz zakaz stosowania nie sprawdzonych wcześniej. Dyskietki i płyty CD powinny być przed użyciem sprawdzone programem antywirusowym..
7. Zatrudniając pracowników mających dostęp do danych poufnych, warto dokładnie sprawdzić, jak funkcjonowali w poprzednich miejscach pracy i sporządzić ich portret charakterologiczny za pomocą testów psychologicznych.
8. Systematycznie szkolić pracowników w zakresie stosowania procedur związanych z ochroną informacji. Przypominać o obowiązujących w firmie zasadach, informując o potencjalnym zagrożeniu.
9. Co jakiś czas przeprowadzać wewnętrzne kontrole, których celem ma być potwierdzenie, czy pracownicy stosują się do obowiązujących w firmie zasad - np. przeszukiwać kosze na śmieci.
Warto tych informacji i rad zza oceanu nie traktować jako zwykłych ciekawostek. Nasze doganianie świata zachodniego można w wielu dziedzinach uznać za imponujące, ale niestety obejmuje ono także rozwój metod popełniania przestępstw. Korzystajmy więc z doświadczeń innych, aby ustrzec się przed dotkliwymi stratami.
Przeczytaj także:
Czy AI pomoże ograniczyć oszustwa finansowe?
1 2
oprac. : eGospodarka.pl
Więcej na ten temat:
niszczenie dokumentów, kradzież danych, wyciek poufnych danych, kradzież tożsamości, dane firmowe