W 2014 roku zwiększyła się liczba ataków na środowiska informatyczne administracji publicznej i były one groźniejsze niż w latach ubiegłych – tak wynika z najnowszych badań przeprowadzonych przez Rządowy Zespół Reagowania na Incydenty Komputerowe CERT, działający w strukturze ABW. Niska świadomość pracowników instytucji publicznych o bezpieczeństwie wrażliwych informacji dodatkowo pogarsza zaistniałą sytuację. Czy dane polskich obywateli są więc zagrożone?
Z raportów przeprowadzonych przez jednostki rządowe jasno wynika, że polskie instytucje publiczne muszą jak najszybciej zmienić swoja politykę w zakresie bezpieczeństwa informacji. W 2014 roku zarejestrowano bowiem aż 4681 incydentów związanych z zagrożeniem bezpieczeństwa newralgicznych danych. Okazuje się więc, że mimo wzrostu środków budżetowych na zwiększenie bezpieczeństwa informacji, inwestycje nie zdają egzaminu[1].
CERT w swoim „Raporcie o stanie bezpieczeństwa cyberprzestrzeni RP w roku 2014” stwierdza, że wśród instytucji państwowych utrzymuje się tendencja do kierowania się ceną systemów bezpieczeństwa kosztem ich jakości. Jednak to nie jedyna przyczyna złej kondycji bezpieczeństwa w urzędach.
„Pracownicy często zapominają, że poufne dane nie funkcjonują wyłącznie w postaci elektronicznej. Część materiałów, która trafia do komputerów czy do sieci, na pewnym etapie istnienia jest przenoszona między stanowiskami pracy na nośnikach danych typu – papier, pendrive, CD czy dyski twarde. Właśnie na tym etapie należy zmaksymalizować środki bezpieczeństwa. Dokumenty z poufnymi informacjami, których wyciek do sieci czy poza organizację może stanowić zagrożenie, w razie potrzeby, należy zutylizować w sposób bezpieczny i skuteczny. W tym celu należy zwiększyć świadomość urzędników z zakresu użytkowania nowoczesnych niszczarek zarówno tych do papieru jak i do dysków twardych. Im mniej osób zaangażowanych jest w proces niszczenia dokumentacji tym lepiej, a da się to osiągnąć jedynie poprzez przeprowadzenie tego procesu wewnątrz organizacji. Każda forma outsourcingu usług z zakresu utylizacji dokumentów czy nośników danych wiąże się z ryzykiem, że wrażliwe dane wpadną w niepowołane ręce, o czym media informują na bieżąco” – komentuje Marcin Sobaniec, ekspert HSM Polska.
Jak wynika z raportu, dodatkowym problemem jest znikoma świadomość problemu wśród kadry zarządzającej.
„Edukacja pracowników jest niezbędna do zapewnienia bezpieczeństwa informacji w polskich urzędach. Rozwiązaniem tego problemu może być np. prowadzenie okresowych szkoleń z zakresu obowiązujących norm bezpieczeństwa i sprawdzonych praktyk stosowanych na świecie. Osoby piastujące państwowe urzędy muszą zdawać sobie sprawę z tego jak kluczowym elementem działania każdej organizacji jest ochrona informacji i najważniejszych danych funkcjonujących zarówno w obiegu cyfrowym, jak i papierowym” – dodaje Marcin Sobaniec, ekspert HSM Polska.
Okazuje się, że czynnik ludzki jest jedną z najczęstszych przyczyn powstawania realnych zagrożeń w kwestii bezpieczeństwa informacji. Do ich zaistnienia przyczyniają się m.in. zaniedbania czy nieprzestrzeganie procedur, które w dużej mierze wynikają z niewiedzy lub dezinformacji. Urzędnicy mimo obowiązku sprawowania szczególnej ochrony nad posiadanymi danymi, często nawet w sposób nieumyślny, doprowadzają do ich udostępniania osobom nieuprawnionym. Częstą praktyką jest także nadmierne gromadzenie danych, które powinny zostać zutylizowane, co zwiększa prawdopodobieństwo wycieku. Wynika to z nieprzestrzeganie norm bezpieczeństwa takich, jak chociażby obowiązująca w Polsce norma DIN 66399. Badania wskazują, że szeregowi pracownicy są odpowiedzialni za ponad 54% wszystkich wycieków informacji. Wydawać by się mogło, że zagrożenia płyną przede wszystkim z zewnątrz organizacji. Okazuje się że to nieprawda – tylko 24% wszystkich wycieków danych ujawnionych na świecie w roku 2014 miała swoje źródło w ataku na przedsiębiorstwo z zewnątrz[2].
„Współcześnie istnieją różnorodne nośniki do zapisywania informacji, które umożliwiają przechowywanie poufnych danych. Oprócz tradycyjnego papieru, równie ważną rolę odgrywają dziś media cyfrowe. Norma DIN 66399 bierze to pod uwagę i definiuje stopnie bezpieczeństwa dla wszystkich współczesnych nośników danych. Obecnie na rynku są dostępne zaawansowane technologicznie niszczarki, które bez trudu są w stanie zniszczyć nowoczesne nośniki danych. Jedną z takich maszyn jest np. HSM Powerline HDS 230” – tłumaczy Marcin Sobaniec, ekspert HSM Polska.
