KRZYSZTOF POLAK:
Czy konieczne jest szyfrowanie danych w firmowych komputerach?
ANNA PIECHOCKA*:
Dane użytkowane przez przedsiębiorstwo mają niewymierną wartość. Świadomość przedsiębiorców co do potrzeby ich ochrony rośnie. Przedsiębiorcy zaczynają doceniać komfort, jaki może zapewnić oprogramowanie szyfrujące. Można uniknąć wielu kłopotliwych sytuacji, takich jak kradzież poufnych danych przez byłych lub obecnych pracowników czy też kopiowanie z dysku komputera firmowego na dyski przenośne ważnych dokumentów, np. umowy handlowej obwarowanej klauzulą poufności. Dodatkowym atutem korzystania z programu szyfrującego jest możliwość zadośćuczynienia wskazaniom należytej ochrony danych osobowych. A taki obowiązek wynika z rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 r. nr 100, poz. 1024). Minister wskazuje w nim, by osoba użytkująca komputer przenośny zawierający dane osobowe zachowywała szczególną ostrożność podczas jego transportu, przechowywania i używania poza obszarem firmy. Podkreśla też, że powinna „stosować środki ochrony kryptograficznej.”
Reklama
Czy szyfrowanie należy traktować jako obowiązek czy jako zalecenie?
W dzisiejszym społeczeństwie opartym na informacji techniki szyfrowania danych stają się dla przedsiębiorcy rodzajem polisy ubezpieczeniowej, która chroni go przed przykrymi i dotkliwymi konsekwencjami utraty poufnych danych, takich jak numery kart kredytowych, strategia firmy, lista klientów, umowy, listy płac, karty chorobowe pracowników, czy innych ważnych dokumentów. Warto je stosować, choć obowiązku nie ma.
Z jakimi zagrożeniami musi się dziś liczyć przedsiębiorca – użytkownik komputera?
Firmowy komputer mający łączność z internetem stanowi dla hakerów łakomy kąsek. Zwłaszcza niezabezpieczony komputer łatwo może paść łupem cyberprzestępców, którzy przekształcą go w maszynę zombie i będą wykorzystywać go m.in. do rozsyłania setek tysięcy niechcianych maili czy po prostu wykradną z niego cenne dla przedsiębiorcy dane. Zakusy hakerów to jednak nie-jedyne zmartwienie dla firm. Równie uciążliwi mogą okazać się sami pracownicy, którzy często lekceważą reguły bezpieczeństwa w firmie i kopiują prywatne pliki na służbowe komputery czy też korzystają z komunikatorów internetowych, np. z sieci P2P (Peer to Peer) – chodzi o współdzielenie przez wielu użytkowników sieci swoich zasobów komputerowych i usług oraz bezpośrednią ich wymianę. Konsekwencjami takich działań, w wypadku niezabezpieczonych komputerów, mogą być infekcje złośliwych wirusów, koni trojańskich przejmujących kontrolę nad zainfekowanymi maszynami czy denerwujące programy typu adware wyświetlające bez przerwy reklamy.
Jakie są metody przeciwdziałania świadomie i nieświadomie zagrożeniom?
Skuteczną ochronę przed większością tego typu zagrożeń zapewnia zastosowanie rozwiązania antywirusowego lub pakietu bezpieczeństwa. Ważne jednak, aby programy te działały w oparciu o heurystykę, która w wypadku nagłych infekcji i nowych, nieznanych zagrożeń potrafi zapewnić pełne bezpieczeństwo. Przykładem takiego rodzaju rozwiązań są systemy zabezpieczające, które działają w oparciu o sztuczną inteligencję i pozwalają wykrywać nieznane dotąd wirusy, robaki internetowe itd. Taką ochronę warto uzupełnić o rozwiązania szyfrujące, które zabezpieczą firmowe dane przed kradzieżą.
Ostatnio coraz popularniejsze wśród polskich firm stają się scentralizowane systemy zabezpieczające sieci przedsiębiorstwa klasy UTM (Unified Threat Management), które dzięki integracji wielu dedykowanych rozwiązań w jednym systemie dają możliwość skutecznej ochrony. Takimi rozwiązaniami są m.in. produkty NETASQ wskazywane w rankingu agencji analitycznej IDC z 2008 r. w pierwszej trójce rozwiązań UTM do zintegrowanego zabezpieczania sieci w Europie Zachodniej.
*Anna Piechocka, dyrektor biura bezpieczeństwa informatycznego w firmie DAGMA
