Pobierz najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Zagrożenia bezpieczeństwa informacji w przedsiębiorstwie (cz. 1)

Printer Friendly and PDF

lead.gif Współczesne przedsiębiorstwa, zmuszone do prowadzenia działalności w warunkach niepewności i chaosu, poddają modyfikacjom swoje podejście do bezpieczeństwa. W obliczu trudności związanych z niepewnością i chaosem przedsiębiorstwa stoją przed koniecznością brania pod uwagę zarówno zdarzeń lokalnych, jak i globalnych, wpływających na ich działalność.

Potrzeba poczucia bezpieczeństwa stanowi jedną z zasadniczych potrzeb człowieka, jest wartością pierwotną i podstawą. Stąd też kategoria bezpieczeństwa agreguje wszystkie składowe najważniejszej dla człowieka wartości. W związku z tym, zaliczając bezpieczeństwo do dóbr podstawowych, należy podkreślić, iż powinno ono stanowić przedmiot szczególnej uwagi w zarządzaniu organizacją gospodarczą niezależnie od form zorganizowania, szczebla hierarchicznego i stopnia rozwoju.

1. Istota bezpieczeństwa informacji

W odniesieniu do postrzegania i poszukiwania poczucia bezpieczeństwa warto wziąć pod uwagę model zaprezentowany przez D. Frei’a, który uwzględnia cztery elementy1:

  • stan braku bezpieczeństwa – w którym występuje rzeczywiste i istotne zagrożenie zewnętrzne, którego postrzeganie jest adekwatne,
  • stan obsesji – w którym niewielkie zagrożenie postrzega się jako duże,
  • stan fałszywego bezpieczeństwa – w którym istotne zagrożenie postrzegane jest jako niewielkie,
  • stan bezpieczeństwa – w którym zagrożenie zewnętrzne jest niewielkie, a jego postrzeganie prawidłowe.

Literatura przedmiotu szeroko omawia pojęcie i typologie bezpieczeństwa z różnych perspektyw. Dokonując ich przeglądu, można zauważyć, iż po pierwsze: charakteryzuje je duży poziom ogólności i odmienność spojrzenia na problem bezpieczeństwa z racji reprezentowania przez autorów różnych dyscyplin naukowych, takich jak lingwistyka, politologia, psychologia, wojskowość i zarządzanie. Po drugie: podstawowym zadaniem przedsiębiorstw jest tworzenie i doskonalenie systemów bezpieczeństwa, przy czym stwarza się poczucie bezpieczeństwa dla pracowników przedsiębiorstw i ich otoczenia. Najszersze rozumienie bezpieczeństwa wyraża się w stwierdzeniu, iż „pewien podmiot jest bezpieczny, jeśli jest zdolny do osiągania swoich celów”2. Wydaje się jednak, iż dla potrzeb niniejszego opracowania odpowiednia jest definicja bezpieczeństwa W. Šmid’a, zgodnie z którą bezpieczeństwo to sytuacja odznaczająca się brakiem ryzyka np. w inwestowaniu, planach strategicznych, zasobach materialnych i ludzkich3.

Bezpieczeństwo informacji to nic innego, jak „obrona informacyjna, która polega na uniemożliwieniu i utrudnieniu zdobywania danych o fizycznej naturze aktualnego i planowanego stanu rzeczy i zjawisk we własnej przestrzeni funkcjonowania oraz utrudnianiu wnoszenia entropii informacyjnej do komunikatów i destrukcji fizycznej do nośników danych”4.

Na każdym poziomie zarządzania bezpieczeństwem informacji zasadniczym celem jest niedopuszczenie do jej ujawnienia. Należy podkreślić, że zbyt szerokie rozumienie bezpieczeństwa może utrudniać przepływ informacji w państwie, przedsiębiorstwie itp. – informacji, które są niezbędne do ich sprawnego i skutecznego funkcjonowania.

Na tym tle jawi się istotna kwestia związana z zagadnieniem bezpieczeństwa informacyjnego, które dotyczy ochrony informacji stanowiących tajemnicę państwową, względnie służbową.

Bezpieczeństwo informacyjne w szerokim ujęciu rozumiane jest jako stan wolny od zagrożeń, które z kolei rozumiane są głównie jako:

  • przekazywanie informacji nieuprawnionym podmiotom,
  • szpiegostwo,
  • działalność dywersyjna lub sabotażowa5.

Bezpieczeństwem informacyjnym jest również każde działanie, system bądź metoda, które zabezpieczają zasoby informacyjne gromadzone, przetwarzane, przekazywane oraz przechowywane w pamięci komputerów i sieciach teleinformatycznych6. Dlatego też bezpieczeństwo informacyjne należy rozumieć jako wypadkową bezpieczeństwa fizycznego, prawnego, osobowo-organizacyjnego oraz teleinformatycznego organizacji gospodarczej7.

Bezpieczeństwo jest procesem ciągłym, w ramach którego przedsiębiorstwa starają się udoskonalać mechanizmy zapewniające im poczucie bezpieczeństwa. Odzwierciedlenie rozumienia i traktowania bezpieczeństwa jako kluczowego obszaru zainteresowań przedsiębiorstw znajdujemy w ich działaniach podejmowanych w obliczu zagrożenia. Działania te są zadaniami trudnymi i kosztownymi, co w wielu przypadkach może stanowić przyczynę ich zaniechania.

2. Klasyfikacja zagrożeń bezpieczeństwa informacji

Właściwe zdefiniowanie zagrożeń stanowi podstawę zapewnienia bezpieczeństwa informacji w przedsiębiorstwie. Zagrożenie to sytuacja lub stan, które komuś zagrażają lub w których ktoś czuje się zagrożony. Źródłem zagrożenia może być również osoba stanowiąca zagrożenie lub wzbudzająca poczucie zagrożenia8. „(...) W definicjach politologicznych, zwłaszcza odnoszących się do kwestii bezpieczeństwa, zagrożenia mieszczą się w szerszej grupie, określanej jako wyzwania. Wyzwania, które są właściwie rozpoznawane i podejmowane, stanowią szanse, zaś wyzwania nie podejmowane lub podejmowane za późno mogą przekształcić się w zagrożenia”9. Podobnie traktuje się zagrożenia również w innych naukach, takich jak na przykład zarządzanie czy socjologia. Przedsiębiorstwa, których działania skupiają się na rozwoju i podążaniu w kierunku nowych rozwiązań, stają przed nowymi wyzwaniami i nowymi zagrożeniami, których katalog nieustannie się powiększa. Rysunek 2 prezentuje listę wybranych zagrożeń informacyjnych dla organizacji gospodarczej. Prowadzenie działalności gospodarczej niesie za sobą ryzyko, które w przedsiębiorstwie pojawia się w postaci określonego zagrożenia. Ryzyko to przybiera różne formy i może ulegać zmianom w czasie. „(…) W refl eksji nad niepewnością i ryzykiem w globalnym społeczeństwie informacyjnym należy ryzyko łączyć z zagrożeniami, a raczej kumulacją ryzyk wywodzących się z licznych źródeł zagrożeń (...)”10.

Wyróżniamy liczne źródła zagrożeń (ryzyka):

  • ryzyko egzystencjalne,
  • ryzyko kulturowe,
  • ryzyko informacyjne,
  • ryzyko technologiczne,
  • ryzyko ekonomiczne,
  • ryzyko ekologiczne,
  • ryzyko polityczne,
  • ryzyko...11

W przedsiębiorstwach spotykamy się z coraz większą skalą przestępstw i patologii gospodarczych. Tabela 1 przedstawia zagrożenia w biznesie w zakresie przestępstw gospodarczych, komputerowych i działalności wywiadów.

rys1.gif
Rys. 1. Składowe bezpieczeństwa informacji
Źródło: Łuczak J. (red.), Zarządzanie bezpieczeństwem informacji, Ofi cyna Współczesna, Poznań 2004, s. 80

 

Przestępstwa występujące w biznesie tworzą specyficzną grupę, ponieważ, zagrażając przedsiębiorstwom czy instytucjom, stanowią zagrożenie dla zasobów organizacji, np. dla posiadanych baz informacji, środków pieniężnych, wartości firmy, takich jak reputacja, wyrobione stosunki bądź przywileje handlowe danego przedsiębiorstwa12.

Pojęcie bezpieczeństwa informacyjnego można przybliżyć poprzez identyfikację następujących obszarów zagrożeń:

  • zagrożenia losowe – wszelkiego rodzaju klęski żywiołowe, katastrofy, wypadki, które wpływają na stan bezpieczeństwa informacyjnego organizacji (np. pożar budynku, w którym przechowywane są nośniki informacji),
    tradycyjne zagrożenia informacyjne – szpiegostwo, działalność dywersyjna lub sabotażowa (ukierunkowana na zdobycie informacji, ofensywną dezinformację prowadzoną przez inne osoby, podmioty, organizacje),
    zagrożenia technologiczne – zagrożenia związane z gromadzeniem, przechowywaniem, przetwarzaniem i przekazywaniem informacji w sieciach teleinformatycznych (do takich zagrożeń zaliczamy przestępstwa komputerowe, cyberterroryzm, walkę informacyjną),
    zagrożenia wynikające z niedostatecznych rozwiązań organizacyjnych i strukturalnych13.

Zagrożenia można podzielić ze względu na lokalizację ich źródła na:

  1. wewnętrzne (powstające wewnątrz organizacji), które obejmują:
    • zagrożenie utratą, uszkodzeniem danych lub brakiem możliwości obsługi z powodu błędu lub przypadku,
    • zagrożenie utratą lub uszkodzeniem poprzez celowe działania nieuczciwych użytkowników,
  2. zewnętrzne (powstające poza organizacją), które obejmują zagrożenie utratą, uszkodzeniem danych lub pozbawieniem możliwości obsługi przez celowe lub przypadkowe działanie ze strony osób trzecich w stosunku do sieci lub systemu,
  3. fizyczne, w których utrata, uszkodzenie danych lub brak możliwości obsługi następuje z powodu wypadku, awarii, katastrofy lub innego nieprzewidzianego zdarzenia wpływającego na system informacyjny bądź urządzenie sieciowe14.

Jednym z najistotniejszych potencjalnych źródeł zagrożeń dla bezpieczeństwa przedsiębiorstw jest naruszanie przepisów ochraniających te organizacje przez osoby posiadające dostęp do informacji. Napotyka się również bariery i trudności związane z wdrażaniem w życie ustawy o ochronie informacji niejawnych.

Rozwój teleinformatyki i globalnego rynku automatyzuje procesy produkcyjne i finansowo–księgowe, umożliwia globalną i szybką komunikację, a nawet pozwala na zawieranie umów między kontrahentami na odległość. Jednakże nie należy zapominać o tym, że prowadzenie działalności gospodarczej w oparciu o teleinformatyzację oprócz korzyści niesie za sobą różne zagrożenia. Systemy informatyczne mają na celu gromadzenie, przetwarzanie i szybkie udostępnianie danych. „Wielkość ich i jakość, a zwłaszcza źródło pochodzenia stanowią przedmiot zainteresowania nie tylko służb specjalnych i innych instytucji będących potencjalnym przeciwnikiem, ale także organizacji o charakterze terrorystycznym oraz pojedynczych osób”15. Systemy informatyczne mogą być zagrożone ze strony każdego, kto posiada dostateczny zasób wiedzy i umiejętności.

Bezpieczeństwo systemów i sieci teleinformatycznych „to taki zakres przedsięwzięć, który ma na celu uniemożliwienie niepowołanym osobom dostępu do wartościowej informacji, do której można dotrzeć przez przechwyt emisji radiowych i analizę ruchu w sieciach radiowych lub wprowadzenie w błąd tych, którzy takową analizę mogą prowadzić. Bezpieczeństwo systemów łączności obejmuje systemy transmisji, bezpieczeństwo środków utrudniających oraz środków mających na celu fizyczną ochronę systemów łączności, materiałów niejawnych i informacji związanych systemami łączności” 16.

Ataki na zbiory danych stanowiących tajemnicę państwową lub służbową mają na celu przejęcie kontroli nad chronionymi systemami. Ataki na systemy komputerowe występują wówczas, gdy działania zmierzające do naruszenia ich bezpieczeństwa są celowe. Wyróżnia się dwie grupy ataków:

  1. ataki aktywne – aktywne oddziaływanie na system, bezpośrednie lub pośrednie, polegające na modyfikowaniu strumienia danych lub tworzeniu danych fałszywych,
  2. ataki pasywne – brak aktywnego oddziaływania na system (do ataków tych należy szeroko rozumiany podsłuch lub podgląd, analiza ruchu w sieci w celu zlokalizowania takich elementów, jak serwer czy stanowiska pracy)17.
rys2.gif
Rys. 2. Podział zagrożeń informacyjnych
Źródło: Bączek P., Zagrożenia informacyjne a bezpieczeństwo państwa polskiego, Wydawnictwo Adam Marszałek, Toruń 2006, s. 30

 

Zagrożenie atakiem występuje, gdy dostępne są takie możliwości, jak:

  1. nieuprawniony dostęp do przechowywanych, przetwarzanych i przesyłanych informacji niejawnych bez oddziaływania na system,
  2. nieuprawnione oddziaływanie na system, które może spowodować:
    • zmiany funkcjonowania sieci teleinformatycznej, dostęp do przesyłanych, przetwarzanych i przechowywanych informacji,
    • dezinformację,
    • zniszczenie informacji i innych zasobów systemu,
    • sfałszowanie lub nieuprawnioną modyfikację informacji18.

W roku 2007 najczęściej pojawiającym się rodzajem ataku były oszustwa komputerowe, drugim pod względem liczebności rodzajem ataku były obraźliwe i nielegalne treści, natomiast na trzeciej pozycji uplasowało się gromadzenie informacji. Wciągu pięciu lat liczba ataków tego ostatniego rodzaju zmniejszyła się o 57%. Ponad połowa atakujących to firmy komercyjne (58,8%). Z roku na rok CERT Polska (Computer Emergency Response Team Polska) notuje coraz więcej takich przypadków. 18,5% atakujących pozostało nieznanych, w związku z czym przed organizacjami zajmującymi się ochroną pojawiają się coraz to nowe wyzwania. CERT często nie jest w stanie zidentyfikować prawdziwego źródła ataku, gdyż atakujący ukrywa sie za serwerem proxy, botnetem czy przejętą maszyną nieświadomej ofiary. Pojawiły się również i upowszechniły działające na granicy prawa firmy udostępniające łącza, serwery fizyczne i wirtualne, na których umieszczane są nielegalne treści, a firmy te chronią swoich klientów, zapewniając im anonimowość19.

tab1.gif

Tab. 1. Przestępstwa w biznesie
Źródło: Kuta M., Polityka bezpieczeństwa informacji w przedsiębiorstwie – aspekty praktyczne, [w:] Borowiecki R., Kwieciński M., Monitorowanie otoczenia, przepływ i bezpieczeństwo informacji. W stronę integralności przedsiębiorstwa, Zakamycze 2003, s. 267

 

Najstarszą techniką mającą na celu wyprowadzenie danych z przedsiębiorstwa jest zbieranie przez konkurencję informacji o przedsiębiorstwie poprzez przeszukiwanie śmieci. Technika ta znajduje się na pograniczu zewnętrznego i wewnętrznego zagrożenia. Stanowi ona realne zagrożenie dla takich organizacji, jak banki, instytucje finansowe, ubezpieczeniowe, przedsiębiorstwa opracowujące i wdrażające nowe technologie, dla których poufność kontaktów z klientem jest podstawą zdobywania udziału w rynku. „O popularności tej techniki decyduje nie tylko łatwość, z jaką dane takie można zdobyć, lecz również – w przypadku zatrzymania – bezkarność” 20.

Ochrony wymagają nie tylko informacje związane z działalnością ekonomiczną i finansową, ale również dane osobowe. Przykładem luki w systemie ochrony danych osobowych może być fakt wykradzenia list z nazwiskami, adresami i numerami zastrzeżonych numerów telefonów ok. 200 tys. abonentów z baz danych piotrkowskiego oddziału TP (dane na płytach CD można było kupić na bazarze za 10 zł)21.

„Rozwój technologii informacyjnych stwarza dogodne warunki dla prowadzenia działalności przestępczej. Pojawiające się nowe rozwiązania z jednej strony wspomagają procesy podejmowania decyzji na różnych szczeblach zarządzania organizacją, natomiast z drugiej niosą ze sobą jakościowo nowe niebezpieczeństwa. Zagrożenia te mogą naruszać zasoby: osobowe, materialne, finansowe, informacyjne (…)”22. Poniższa ilustracja przedstawia formy działań charakterystycznych dla przestępstw informatycznych.

rys3.gif

Rys. 3. Rozkład i nakładanie się przestępstw komputerowych
Źródło: Fischer B., Przestępstwa komputerowe i ochrona informacji, Kantor Wydawniczy Zakamycze, Zakamycze 2000, s. 33

 

Wyzwaniem dla przedsiębiorstw jest zapewnienie tajności, spójności i niezawodności działań związanych z gromadzeniem, przetwarzaniem i udostępnianiem danych wyłącznie uprawnionym osobom, co wynika z zajmowanego przez nie stanowiska lub wykonywania powierzonych im zadań. Wymienia się pięć obszarów zagrożeń dla systemów komputerowych:

  • kwalifikacje i wiarygodność personelu,
  • centra administracyjne systemu i sieci,
  • infrastruktura telekomunikacyjna,
  • produkcja sprzętu i oprogramowania,
  • procedury korzystania z systemów i sieci informatycznych,
  • nośniki danych23.

Mając świadomość tego, jak wiele istnieje zagrożeń bezpieczeństwa informacji, należy wyselekcjonować najistotniejsze potencjalne obszary ich występowania. Trzeba opracować i wdrożyć procedury mające na celu ochronę tych obszarów, wprowadzić procedury ograniczające (uprawniony) dostęp, przeprowadzić szkolenia oraz kontrolować.

3. Podsumowanie

W pierwszej części niniejszego artykułu poruszono zagadnienia związane z istotą bezpieczeństwa informacji i klasyfikacją związanych z tym bezpieczeństwem zagrożeń. Część druga będzie poświęcona kształtowaniu zachowań zabezpieczających informacje w małej firmie.

dr Marek Jabłoński
Uniwersytet Ekonomiczny w Krakowie

mgr Magdalena Mielus
Krakowska Szkoła Wyższa
im. A. Frycza Modrzewskiego

Zabezpieczenia 1/2009

Literatura

  1. Barczyk A., Sydoruk T., Bezpieczeństwo systemów informatycznych zarządzania, Dom Wydawniczy Bellona, Warszawa 2003.
  2. Bączek P., Zagrożenia informacyjne a bezpieczeństwo państwa polskiego, Wydawnictwo Adam Marszałek, Toruń 2006.
  3. Konieczny J. (red.), Bezpieczeństwo. Teoria i praktyka. Moralne problemy bezpieczeństwa, czasopismo Krakowskiej Szkoły Wyższej im. A. Frycza Modrzewskiego, numer specjalny, Kraków 2008.
  4. Borowiecki R., Kwieciński M., Monitorowanie otoczenia, przepływ i bezpieczeństwo informacji. W stronę integralności przedsiębiorstwa, Zakamycze 2003.
  5. Ciborowski L., Walka informacyjna, Wydawnictwo Marszałek, Toruń 1999.
  6. Fischer B., Przestępstwa komputerowe i ochrona informacji, Kantor Wydawniczy Zakamycze, Zakamycze 2000.
  7. Herman M., Potęga wywiadu, Wydawnictwo Bellona, Warszawa 2002.
  8. Liedel K., Bezpieczeństwo informacyjne w dobie terrorystycznych i innych zagrożeń bezpieczeństwa narodowego, Wydawnictwo Adam Marszałek, Toruń 2006.
  9. Šmid W., Metamarketing, Wydawnictwo Profesjonalnej Szkoły Biznesu, Kraków 2000.
  10. Łuczak J. (red.), Zarządzanie bezpieczeństwem informacji, Oficyna Współczesna, Poznań 2004.
  11. Żebrowski A., Kwiatkowski M., Bezpieczeństwo informacji III Rzeczypospolitej, Oficyna Wydawnicza Abrys, Kraków 2000.

Źródła internetowe

  1. http://sjp.pwn.pl
  2. http://www.cert.pl
  1. Liedel K., Bezpieczeństwo informacyjne w dobie terrorystycznych i innych zagrożeń bezpieczeństwa narodowego, Wydawnictwo Adam Marszałek, Toruń 2006, s. 9.
  2. Konieczny J., O metodzie rozumowań w etyce bezpieczeństwa, [w:] Konieczny J. (red.), Bezpieczeństwo. Teoria i praktyka. Moralne problemy bezpieczeństwa, czasopismo Krakowskiej Szkoły Wyższej m. A. Frycza Modrzewskiego, numer specjalny, Kraków 2008, s. 97.
  3. Šmid W., Metamarketing, Wydawnictwo Profesjonalnej Szkoły Biznesu, Kraków 2000, s. 50.
  4. Ciborowski L., Walka informacyjna, Wydawnictwo Marszałek, Toruń 1999, s. 186.
  5. Bączek P., Zagrożenia informacyjne a bezpieczeństwo państwa Polskiego, Wydawnictwo Adam Marszałek, Toruń 2006, s. 71.
  6. Tamże, s. 71.
  7. Łuczak J. (red.), Zarządzanie bezpieczeństwem informacji, Oficyna Współczesna, Poznań 2004, s. 80.
  8. http://sjp.pwn.pl/lista.php?co=zagro%BFenie (data pobrania: 18 lipca 2008 r.).
  9. Bączek P., Zagrożenia informacyjne a bezpieczeństwo państwa polskiego, Wydawnictwo Adam Marszałek, Toruń 2006, s. 30.
  10. Sienkiewicz P., Społeczeństwo informacyjne jako społeczeństwo ryzyka, [w:] Haber L. W., Niezgoda M. (red.), Społeczeństwo informacyjne. Aspekty funkcjonalne i dysfunkcjonalne, Wydawnictwo Uniwersytetu Jagiellońskiego, Kraków 2006, s. 64.
  11. Tamże, s. 64.
  12. Kuta M., Polityka bezpieczeństwa informacji w przedsiębiorstwie – aspekty praktyczne, [w:] Borowiecki R., Kwieciński M., Monitorowanie otoczenia, przepływ i bezpieczeństwo informacji. W stronę integralności przedsiębiorstwa, Zakamycze 2003, s. 268.
  13. Bączek P., Zagrożenia informacyjne a bezpieczeństwo państwa polskiego, Wydawnictwo Adam Marszałek, Toruń 2006, s. 72.
  14. Żebrowski A., Kwiatkowski M., Bezpieczeństwo informacji III Rzeczypospolitej, Oficyna Wydawnicza Abrys, Kraków 2000, s. 65.
  15. Tamże, s. 63.
  16. Herman M., Potęga wywiadu, Wydawnictwo Bellona, Warszawa 2002, s. 170.
  17. Żebrowski A., Kwiatkowski M., Bezpieczeństwo informacji III Rzeczypospolitej, Oficyna Wydawnicza Abrys, Kraków 2000, s. 63.
  18. Barczyk A., Sydoruk T., Bezpieczeństwo systemów informatycznych zarządzania, Dom Wydawniczy Bellona, Warszawa 2003, s. 70.
  19. http://www.cert.pl/PDF/Raport_CP_2007.pdf (data pobrania: 14 lipca 2008 r.).
  20. Łuczak J. (red.), Zarządzanie bezpieczeństwem informacji, Oficyna Współczesna, Poznań 2004, s. 45.
  21. http://www.wiadomosci.tvp.pl (wiadomość z dnia 20 kwietnia 2003 r.).
  22. Żebrowski A., Kwiatkowski M., Bezpieczeństwo informacji III Rzeczypospolitej, Oficyna Wydawnicza Abrys, Kraków 2000, s. 70.
  23. Tamże, s. 64.

 

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony