Właściwe zdefiniowanie zagrożeń stanowi podstawę zapewnienia bezpieczeństwa in-formacji w organizacji. Zagrożenie to sytuacja lub stan, które komuś zagrażają lub w których ktoś czuje się zagrożony. Źródłem zagrożenia może być również osoba sta-nowiąca zagrożenie lub wzbudzająca poczucie zagrożenia11.
„W definicjach politologicznych, zwłaszcza odnoszących się do kwestii bezpieczeń-stwa, zagrożenia mieszczą się w szerszej grupie określanej jako wyzwania. Wyzwania, które są właściwie rozpoznawane i podejmowane stanowią szanse, zaś wyzwania nie-podejmowane lub nie-podejmowane za późno mogą przekształcić się w zagrożenia”12. Podobnie traktuje się zagrożenia również w innych naukach jak na przykład w zarzą-dzaniu czy socjologii.
Organizacje gospodarcze, których działania skupiają się na rozwoju i podążaniu w kierunku nowych rozwiązań, stają przed niespotykanymi dotąd wyzwaniami i zagro-żeniami, których katalog nieustannie się powiększa. Listę wybranych zagrożeń infor-macyjnych dla organizacji gospodarczej przedstawiono na rysunku 2.
Prowadzenie działalności gospodarczej niesie ze sobą ryzyko, które pojawia się w postaci określonego zagrożenia. Ryzyko to przybiera różne formy i może ulegać zmianom w czasie.
„W refleksji nad niepewnością i ryzykiem w globalnym społeczeństwie informa-cyjnym należy ryzyko łączyć z zagrożeniami, a raczej kumulacją ryzyk wywodzących się z licznych źródeł zagrożeń”13. Wyróżniamy wiele źródeł zagrożeń/ryzyka: a) ryzyko egzystencjalne, b) ryzyko kulturowe, c) ryzyko informacyjne, d) ryzyko technologiczne, e) ryzyko ekonomiczne, f) ryzyko ekologiczne, g) ryzyko polityczne i inne14.
11 http://sjp.pwn.pl/lista.php?co=zagro%BFenie (18.07.2008).
12 P. Bączek, op. cit., s. 30.
13 P. Sienkiewicz, Społeczeństwo informacyjne jako społeczeństwo ryzyka, [w:] Społeczeństwo informacyjne. Aspekty
Zagrożenia bezpieczeństwa informacji w organizacji gospodarczej
W organizacjach o charakterze gospodarczym spotykamy się z coraz większą skalą przestępstw i patologii gospodarczych. Poniżej przedstawiono zagrożenia w biznesie w zakresie przestępstw gospodarczych, komputerowych i działalności wywiadów (tab. 2).
Rysunek 2. Podział zagrożeń informacyjnych
Źródło: P. Bączek, Zagrożenia informacyjne a bezpieczeństwo państwa polskiego, op. cit., s. 30.
- -
-Przestępstwa
komputerowe informacjiBrak informacyjnyChaos Cyberterroryzm Walka informacyjna Działalność grup świadomie manipulujących przekazem ZAGROŻENIA INFORMACYJNE Niekontrolowany rozwój nowoczesnych technologii Zagrożenia asymetryczne Nieuprawnione ujawnienie informacji (tzw. wyciek lub przeciek) Asymetria w międzynarodowej wymianie informacji Naruszenie przez władze praw obywatelskich Szpiegostwo - pomyłkowy, - polityczny, - komercyjny. - systemowa, - wynik zaniedbań w polityce zagranicznej - ograniczenie jawności życia publicznego, - wdzieranie się w życie prywatne, bezprawne ingerencje służb specjalnych.
Marek Jabłoński, Magdalena Mielus
Tabela 2. Przestępstwa w biznesie
Przestępstwa w biznesie
Gospodarcze i bankowe Komputerowe Działalność wywiadów
• Fałszerstwa dokumentów publicznych (np. tożsamości, sprawozdań finansowych) • Oszustwa: – kredytowe, – prywatyzacyjne, – podatkowe, – celne, – ubezpieczeniowe, – upadłościowe, – wyłudzenie towarów, – „pranie pieniędzy”, – inne. – niszczenie infor-macji, – fałszerstwa danych, – podsłuch, – sabotaż, – piractwo, – wandalizm, – hakerstwo, – kraking. – gospodarczego (tech-nologiczny, handlowy, konkurencyjny, finan-sowy, strategiczny), – wojskowego, – naukowego.
Źródło: M. Kuta, Polityka bezpieczeństwa informacji w przedsiębiorstwie – aspekty praktyczne, [w:] R. Bo-rowiecki, M. Kwieciński, Monitorowanie otoczenia, przepływ i bezpieczeństwo informacji. W stronę
inte-gralności przedsiębiorstwa, Zakamycze, Kraków 2003, s. 267.
Poza kategoriami przestępstw wymienionymi w powyższej tabeli istnieją również przestępstwa kryminalne, takie jak: kradzieże, napady rozbójnicze oraz akty terroru.
Przestępstwa występujące w biznesie tworzą specyficzną grupę, ponieważ zagra-żają przedsiębiorstwom oraz instytucjom, stanowią zagrożenie dla zasobów orga-nizacji, np. dla posiadanych baz informacji, środków pieniężnych, wartościom firmy takim jak reputacja, wyrobione stosunki bądź przywileje handlowe danego przedsię-biorstwa15.
Pojęcie bezpieczeństwa informacyjnego można przybliżyć poprzez identyfikację następujących obszarów zagrożeń, wśród których wymienia się:
– zagrożenia losowe – to wszelkiego rodzaju klęski żywiołowe, katastrofy, wypadki np. pożar budynku, w którym przechowywane są nośniki informacji, wpływające na stan bezpieczeństwa informacyjnego organizacji;
– tradycyjne zagrożenia informacyjne – szpiegostwo, działalność dywersyjna lub sa-botażowa ukierunkowana na zdobycie informacji, ofensywną dezinformację pro-wadzoną przez inne osoby, podmioty lub organizacje;
– zagrożenia technologiczne – zagrożenia związane z gromadzeniem, przechowy-waniem, przetwarzaniem, przekazywaniem informacji w sieciach teleinformatycz-nych. Do takich zagrożeń zaliczamy: przestępstwa komputerowe, cyberterroryzm, walkę informacyjną;
15 M. Kuta, Polityka bezpieczeństwa informacji w przedsiębiorstwie – aspekty praktyczne, [w:] R. Borowiecki, M. Kwieciń-ski, Monitorowanie otoczenia, przepływ i bezpieczeństwo informacji. W stronę integralności przedsiębiorstwa, Zakamy-cze, Kraków 2003, s. 268.
Zagrożenia bezpieczeństwa informacji w organizacji gospodarczej
– zagrożenia wynikające z niedostatecznych rozwiązań organizacyjnych i struktu-ralnych16.
Ze względu na lokalizację, źródła zagrożeń dzieli się na:
1. wewnętrzne – powstające wewnątrz organizacji, które obejmują:
– zagrożenie utratą, uszkodzeniem danych lub brakiem możliwości obsługi z po-wodu błędu lub przypadku,
– zagrożenie utratą lub uszkodzeniem poprzez celowe działania nieuczciwych użytkowników;
2. zewnętrzne – powstające poza organizacją, obejmują zagrożenie utratą, uszko-dzeniem danych lub pozbawieniem możliwości obsługi przez celowe lub przypad-kowe działanie ze strony osób trzecich w stosunku do sieci lub systemu;
3. fizyczne, w których utrata, uszkodzenie danych lub brak możliwości obsługi nastę-puje przez wypadek, awarię, katastrofę lub inne nieprzewidziane zdarzenie wpły-wające na system informacyjny bądź urządzenie sieciowe17.
Jednym z najistotniejszych potencjalnych źródeł zagrożeń dla bezpieczeństwa or-ganizacji gospodarczej jest naruszanie przepisów ochraniających te organizacje przez osoby posiadające dostęp do informacji. Napotyka się również trudności związane z wdrażaniem w życie Ustawy o ochronie informacji niejawnych.
Rozwój teleinformatyki i globalnego rynku automatyzuje procesy produkcyjne oraz finansowo-księgowe, umożliwia globalną i szybką komunikację, a nawet pozwala na zdalne zawieranie umów między kontrahentami. Jednak nie należy zapominać, że prowadzenie działalności gospodarczej w oparciu o teleinformatyzację, oprócz ko-rzyści niesie ze sobą różne zagrożenia. Systemy informatyczne mają na celu gro-madzenie, przetwarzanie i szybkie udostępnianie danych. „Wielkość ich i jakość, a zwłaszcza źródło pochodzenia stanowią przedmiot zainteresowania nie tylko służb specjalnych i innych instytucji będących potencjalnym przeciwnikiem, ale także or-ganizacji o charakterze terrorystycznym oraz pojedynczych osób”18. Systemy infor-matyczne mogą być zagrożone ze strony każdego, kto posiada dostateczny zasób wiedzy i umiejętności.
Bezpieczeństwo systemów i sieci teleinformatycznych „to taki zakres przedsię-wzięć, który ma na celu uniemożliwienie niepowołanym osobom dostępu do wartoś-ciowej informacji, do której można dotrzeć przez przechwyt emisji radiowych i analizę ruchu w sieciach radiowych lub wprowadzenie w błąd tych, którzy takową analizę mogą prowadzić. Bezpieczeństwo systemów łączności obejmuje systemy transmisji, bezpieczeństwo środków utrudniających oraz środków mających na celu fizyczną ochronę systemów łączności, materiałów niejawnych i informacji związanych z sy-stemami łączności”19.
Ataki na zbiory danych stanowiących tajemnicę państwową lub służbową mają na celu przejęcie kontroli nad chronionymi systemami. Ataki na systemy komputerowe występują wówczas, gdy działania zmierzające do naruszania jego bezpieczeństwa są celowe. Wyróżnia się dwie grupy ataków:
16 P. Bączek, op. cit., s. 72.
17 A. Żebrowski, M. Kwiatkowski, Bezpieczeństwo informacji III Rzeczypospolitej, Kraków 2000, s. 65.
18 Ibidem, s. 63.
Marek Jabłoński, Magdalena Mielus
– ataki aktywne – to bezpośrednie lub pośrednie aktywne oddziaływanie na system, polegające na modyfikowaniu strumienia danych lub tworzeniu danych fałszywych, – ataki pasywne – to brak aktywnego oddziaływania na system. Do działań tych na-leży szeroko rozumiany podsłuch lub podgląd, analiza ruchu w sieci w celu zlokali-zowania takich elementów jak serwer czy stanowiska pracy20.
Zagrożenie atakiem występuje wtedy, gdy dostępne są takie możliwości jak: – nieuprawniony dostęp do przechowywanych, przetwarzanych i przesyłanych
infor-macji niejawnych bez oddziaływania na system;
– nieuprawnione oddziaływanie na system, którego wykorzystanie może spowo-dować:
• zmiany funkcjonowania sieci teleinformatycznej, dostęp do przesyłanych, prze-twarzanych i przechowywanych informacji,
• dezinformację,
• zniszczenie informacji i innych zasobów systemu,
• sfałszowanie lub nieuprawnioną modyfikację informacji21.
W roku 2007 najczęściej pojawiającym się rodzajem ataku były oszustwa kompu-terowe, drugim – obraźliwe i nielegalne treści, na trzeciej pozycji uplasowało się nato-miast gromadzenie informacji. W ciągu pięciu lat zmniejszyła się liczba tych ostatnich o 57 punktów procentowych.
Ponad połowa atakujących to firmy komercyjne (58,8%). Z roku na rok CERT Polska (Computer Emergency Response Team Polska) notuje coraz więcej takich przypadków. 18,5% atakujących pozostało nieznanych, w związku z czym, przed organizacjami zajmującymi się szeroko pojętą ochroną stają coraz to nowe wyzwania. CERT często nie jest w stanie zidentyfikować prawdziwego źródła ataku, gdyż atakujący ukrywa się za serwerem Proxy, botnetem czy przejętą maszyną nieświadomej ofiary. Pojawiły się również i upowszechniły działające na granicy prawa firmy udostępniające łącza, serwery fizyczne i wirtualne, na których umieszczane są nielegalne treści, a firmy te chronią swoich klientów, zapewniając im anonimowość22.
Najstarszą techniką mającą na celu wyprowadzenie danych z przedsiębiorstwa jest technika zbierania przez konkurencję informacji poprzez przeszukiwanie śmieci inwigilowanej jednostki. Technika ta znajduje się na pograniczu zewnętrznego i we-wnętrznego zagrożenia. Stanowi ona realne zagrożenie dla organizacji takich jak banki, instytucje finansowe, ubezpieczeniowe, przedsiębiorstwa opracowujące i wdrażające nowe technologie, dla których poufność kontaktów z klientem jest podstawą zdoby-wania udziału w rynku. „O popularności tej techniki decyduje nie tylko łatwość, z jaką dane takie można zdobyć, lecz również – w przypadku zatrzymania – bezkarność”23.
Informacje związane z działalnością ekonomiczną i finansową, a także dane osobowe również winny podlegać daleko idącej ochronie. Przykładem luki w systemie ochrony da-nych osobowych może być fakt wykradzenia list z nazwiskami, adresami i zastrzeżonymi numerami telefonów ok. 200 tys. abonentów z baz danych piotrkowskiego oddziału TP SA (dane na płytach CD można było kupić na bazarze za 10 zł)24.
20 A. Żebrowski, M. Kwiatkowski, op. cit., s. 63.
21 A. Barczyk, T. Sydoruk, Bezpieczeństwo systemów informatycznych zarządzania, Warszawa 2003, s. 70.
22 http://www.cert.pl/PDF/Raport_CP_2007.pdf (14.07.2008).
23 Zarządzenie bezpieczeństwem informacji, op. cit., s. 45.
Zagrożenia bezpieczeństwa informacji w organizacji gospodarczej
Rozwój technologii informacyjnych stwarza dogodne warunki dla prowadzenia działalności przestępczej. Pojawiające się nowe rozwiązania z jednej strony wspoma-gają procesy podejmowania decyzji na różnych szczeblach zarządzania organizacją, natomiast z drugiej przynoszą ze sobą jakościowo nowe niebezpieczeństwa. Zagro-żenia te mogą naruszać zasoby: osobowe, materialne, finansowe, informacyjne25.
Poniższy rysunek przedstawia formy działań charakterystycznych dla przestępstw informatycznych (rys. 3).
Rysunek 3. Rozkład i nakładanie się przestępstw komputerowych
Źródło: B. Fischer, Przestępstwa komputerowe i ochrona informacji, Zakamycze, Kraków 2000, s. 33.
W tab. 3 przedstawiono z kolei zagrożenia w podziale na: losowe wewnętrzne, lo-sowe zewnętrzne, celowe wewnętrzne, celowe zewnętrzne.
Zagrożenia wewnętrzne uznawane są za groźniejsze niż zewnętrzne – konsekwencje ich wystąpienia prowadzą do znacznie większych strat i komplikacji. Największe nie-bezpieczeństwo zagraża systemom informatycznym organizacji gospodarczych ze strony ich własnych pracowników. To oni w sposób świadomy bądź nieświadomy niszczą, modyfikują lub przekazują osobom niepowołanym najcenniejsze informacje. Dopuszczalność takich działań wynika ze stosowania zabezpieczeń ukierunkowanych zazwyczaj na odpieranie ataków pochodzących z zewnątrz, zapominając przy tym o wysokim prawdopodobieństwie ataku wewnętrznego.
Zagrożenia wewnętrzne stanowią największe niebezpieczeństwo i to właśnie z nimi mamy najczęściej do czynienia. Niezamierzone błędy ludzi, zaniedbania ników, defekty sprzętu i oprogramowania lub celowe działania nieuczciwych użytkow-ników są działaniami tworzącymi zagrożenie. Jako szczególny rodzaj zagrożenia we-wnętrznego można zaliczyć proces rekrutacji pracownika, który w przyszłości będzie miał dostęp do poufnych danych organizacji, która go zatrudni. „Zdarza się bowiem,
25 A. Żebrowski, M. Kwiatkowski, op. cit., s. 70.
Oszustwa
komputerowe Fałszerstwa Nielegalne
rozpowszechnianie Szpiegostwo Włamania do systemu Nielegalne używanie Sabotaż Niszczenie danych lub programów Podsłuch
Marek Jabłoński, Magdalena Mielus
że konkurencja przysyła pod pozorem znalezienia pracy człowieka, którego głównym celem jest uzyskanie poufnych danych. Człowiek taki z reguły posiada wysokie kompe-tencje, niekiedy legitymuje się również zwolnieniem go z konkurencyjnej firmy w celu uwiarygodnienia”26.
Zagrożenia zewnętrzne obejmują celowe lub przypadkowe działania ze strony osób trzecich powodujące niebezpieczeństwo utraty lub uszkodzenia danych, pozba-wienia obsługi, systemu lub sieci oraz szpiegostwo, wandalizm i terroryzm. Do za-grożeń zewnętrznych można zaliczyć rozprzestrzeniające się w sieciach lokalnych i rozległych wirusy komputerowe, które niszczą dane, uszkadzają zawartość plików bądź zniekształcają zapis danych na dysku. Szkody powodowane przez wirusy mogą prowadzić do uszczerbku na wizerunku organizacji gospodarczej, a także generować wydatki finansowe na przywrócenie działania uszkodzonego systemu.
Każda organizacja gospodarcza musi postrzegać zagrożenia związane z włama-niami na serwery w celu kradzieży lub usunięcia danych jako realne i przeciwdziałać im najlepiej, jak potrafi. Brak pokory w tym względzie wynikający z przekonania – i dzielenia się tym przekonaniem w otoczeniu – o posiadaniu najlepszego systemu zabezpieczającego może sprowadzić niebezpieczeństwo wcześniej, niż miałoby to miejsce w warunkach normalnych. Przez pojęcie „warunki normalne” rozumie się sy-stem o optymalnym zabezpieczeniu, bez dzielenia się informacją na temat stopnia zabezpieczenia ochranianego systemu. Szerzenie opinii, że dana organizacja posiada najlepsze rozwiązania ochrony informacji, stanowi wyzwanie dla osób czerpiących sa-tysfakcję z włamywania się do obcych systemów.
26 Zarządzenie bezpieczeństwem informacji, op. cit., s. 45.
Tabela 3. Podział zagrożeń wg kryterium pochodzenia i losowości
LOSOWE CELOWE
WEWN
ĘTRZNE
– niezamierzone błędy operatorów i użyt-kowników,
– wady sprzętu,
– wady oprogramowania
– działania własnych pracowników wynika-jące z chciwości, chęci rewanżu itp., – działania użytkowników wykraczające poza ich obowiązki, nadgorliwość itp., – szpiegostwo,
– wandalizm, chuligaństwo, – terroryzm
ZEWN
ĘTRZNE
– zbyt wysoka temperatura lub wilgotność (pożar, zalanie),
– zanieczyszczenie powietrza, kurz, pył, – zakłócenie w zasilaniu,
– zakłócenie w procesach komunikacji, – wyładowania atmosferyczne, klęski ży-wiołowe itp.
– działania przestępców komputerowych podejmowane z chęci zysku,
– działania przedstawicieli prasy i innych mediów, szukających dostępu do informacji, – szpiegostwo,
– wandalizm, chuligaństwo, – terroryzm
Zagrożenia bezpieczeństwa informacji w organizacji gospodarczej