”Ludzie kradną informacje”

0
81

Czyli kilka słów rozwinięcia tez z konferencji – CyberGPW, jaka miała miejsce wczoraj, na Giełdzie Papierów Wartościowych. Przypadł mi udział w ostatnim panelu, ale jakże zacnym. Mieliśmy się wypowiedzieć w bardzo zacnym gronie na temat zagrożeń w 2015 roku. Cóż… wiele się nie zmienia, więc tezy wystąpienia miałem w miarę przygotowane (mimo zmiany panelu).

“Wszystko siama”

Lub “siam”. Każdy, kto ma dzieci to słyszał. Jak dziecko chce się usamodzielnić, być ważne, samo wszystko zrobić. Szczerze? Od lat mam takie przemożne wrażenie, że z bezpieczeństwem w wielu obszarach jest tak samo. I wczoraj po raz kolejny uświadomiłem sobie to w odniesieniu do speców od bezpieczeństwa informacji.

Ludzie kradną…

Tak, taki był tytuł. Informacje i nie tylko. Wynoszą informacje. A my czasem wiemy co robić, czasem nie. A może… Jakby tak spojrzeć na inną dziedzinę bezpieczeństwa, jaką są nadużycia? To tam mamy do czynienia z bezpieczeństwem “osobowym” o którym mowa w normie ISO 27001 (tak naprawdę w załączniku normatywnym A). Patrząc z innej strony – ludzie popełniają nadużycia, których skutkiem jest uszczuplenie majątku – informacji, zasobów etc.

I właśnie w tej “branży” (sektorze?) bezpieczeństwa poszukamy odpowiedzi na to, jak przeciwdziałać. Pojedźmy po klasycznym trójkącie nadużyć. Co w nim mamy? Może nie po kolei, ale:

  • Okazja… czyni złodzieja. Czyli jak mamy nie zabezpieczone informacje, to wcześniej czy później znajdą nowego właściciela, choć w przypadku informacji to raczej współ… Ale po to robimy ACL-e, ustawiamy uprawnienia tu i tam. Żeby okazji nie było.
  • Presja… o to ciekawe. Kiedyś pisałem felieton o nieudolnym przełożonym, który dokłada roboty bezpiecznikom. NIC SIE NIE ZMIENIŁO. A może inaczej – zmieniło się. W obszarze RACJONALIZACJI. O czym za chwilę, skończę o presji. Otóż presja nie zawsze jest finansowa, czasem bywa z chęci “dowalenia”. Wiele osób, które dokonują nadużyć tłumaczą się później, że to była ZEMSTA. Ale nie sama z siebie (co znowu znajdzie się w racjonalizacji), a w otoczeniu, które te same osoby wskazują, jako popychające do owej zemsty.
  • Racjonalizacja – czyli co powyżej. Wiele osób uzasadnia swoje działanie tym, że nie robi nic złego. Tylko się bronią (mszcząc) na durnej firmie i jeszcze bardziej durnym przełożonym. To taki nowy rodzaj racjonalizacji, ale coraz bardziej powszechny.

I to tyle, jeśli chodzi o trójkąt. Ale… od jakiegoś czasu pojawiło się w środowisku audytorów śledczych oraz specjalistów od nadużyć poszerzenie trójkąta do pięciokąta. Cóż – Cressey robił badania w połowie XX w. więc normalne, że pojawia sie aktualizacja wraz z nowymi trendami. Szerzej napisał o tym Mikołaj Rutkowski, więc nie będę się rozwijał – proszę, tu LINK. I znowu, patrząc na to co się dzieje z informacjami, głównie w IT często widzimy:

  • kompetencję – cóż… trudno nie być kompetentnym w omijaniu zabezpieczeń, skoro jesteśmy szkoleni (jako użytkownicy) z ich stosowania. Już nie mówię o adminach, którym również zdarza się wynieść to i owo.
  • arogancję – tu chyba nie trzeba komentować. Czasem arogancja potrafi przenieść się do poziomu kontaktów z otoczeniem.

Sporo teorii

Jak widać, wiedzy jest sporo. Są też konkretne narzędzia – czerwone flagi, plany postępowania w sytuacji nadużyć (tzw. FRP – fraud response plan) i wiele innych. Szkoda tylko, że w środowisku bezpieczeństwa – nie tylko informacji, tak rzadko korzystamy z innych rozwiązań. Okazuje się, że mój felieton naprawdę sprzed wielu lat jest nadal aktualny.

PS. Sprawdziłem – nie jeden. I ten o integracji, braku integracji i tym, że wchodzimy w nieswoje kompetencje.