Zapewnienie poufności informacji i bezpieczeństwa danych wiąże się w oczywisty sposób z zapewnieniem bezpieczeństwa fizycznego oraz ciągłości pracy urządzeń. Używając terminu bezpieczeństwo fizyczne myślimy o odpowiednio zabezpieczonych pomieszczeniach, fizycznej ochronie obiektu (zamki, strażnicy), awaryjnym zasilaniu itd. Te rzeczy są przez większość ludzi rozumiane w sposób intuicyjny - gdyż są zbliżone do środków, jakie podejmuje się w celu ochrony każdego innego dobra (np. zabezpieczenie mieszkania przed włamywaczem). Dlatego w naszych rozważaniach skupimy się na tych aspektach bezpieczeństwa, które są typowe dla danych, a nie dotyczą rzeczy materialnych. Przetwarzanie danych obejmuje trzy podstawowe procesy: korzystanie z danych, przechowywanie danych i przesyłanie danych. Wynika z tego, że zapewnienie poufności i bezpieczeństwa informacji obejmuje trzy podstawowe obszary:
- Kontrola nad dostępem do danych,
- Archiwizacja i przechowywanie danych,
- Komunikacja (wewnątrz firmy oraz zewnętrzna, tj. z kontrahentami).
W każdych z tych obszarów można sformułować kilka ogólnych zasad, których spełnienie będzie warunkować zapewnienie prywatności i poufności informacji.
1. Kontrola nad dostępem do danych
Kontrola nad dostępem do danych ma miejsce w przypadku danych, które są w użyciu. Przez dane, które są w użyciu rozumiemy wszystkie te dane, z których na bieżąco korzystają użytkownicy. Problem pojawia się zwłaszcza wtedy, gdy z tych samych danych korzysta naraz więcej niż jedna osoba. Typowe przykłady takich sytuacji to np. współdzielone foldery sieciowe, czy dane rozmaitych aplikacji biznesowych (np. system księgowy), przechowywane zwykle w bazach danych. Podstawowe metody zapewnienia bezpieczeństwa i poufności dla danych w użyciu to:
- Ograniczenie dostępu wyłącznie do osób upoważnionych,
- Monitorowanie aktywności użytkowników,
- Ograniczanie praw użytkowników do minimum.
Ograniczanie dostępu wyłącznie do osób upoważnionych
Ta zasada jest tak intuicyjna, że nie trzeba jej tłumaczyć. Jest stosowana właściwie od zawsze i niekoniecznie dotyczy informatyki. Realizuje się ją przez konieczność udowodnienia przez użytkownika swojej tożsamości, czyli mówiąc po ludzku: udowodnienia że jest osobą, za którą się podaje. Techniczna strona tego procesu może być różna - od wpisania loginu i hasła w odpowiedni formularz, poprzez skanowanie odcisku palca czy rozpoznawanie twarzy. Zawsze jednak chodzi o to samo: o potwierdzenie, że użytkownik jest tym, za kogo się podaje. W praktyce oznacza to konieczność logowania do systemów, a także opracowanie i ustalenie praw dostępu do poszczególnych zasobów (np. uprawienia użytkowników w systemie księgowym, różne prawa dostępu do folderów sieciowch itd.).
Monitorowanie aktywności użytkowników
O ile kontrola dostępu skutecznie chroni przed działaniem napastnika z zewnątrz - o tyle pozostaje ona całkowicie bezsilna w przypadku gdy mamy do czynienia z dywersją, tzn. gdy napastnikiem jest ktoś z wewnątrz firmy. Taka osoba ma jawnie przyznane uprawnienia, aby móc wykonywać swoje obowiązki. Technicznie rzecz biorąc - nie ma możliwości powstrzymania jej od wykorzystania przyznanych uprawnień w niecnych celach.
W tym wypadku podejmowane środki często wykraczają poza informatykę i polegają np. na podpisywaniu klauzul poufności czy opracowaniu odpowiednich procedur postepowania (np. dostęp do danego zasobu zawsze w obecności świadka). Zaradczym środkiem informatycznym jest natomiast monitorowanie aktywności użytkowników.
Monitorowanie aktywności nie jest w stanie uniemożliwić nieuczciwemu użytkownikowi wykonania niedozwolonego czynu - ale pozbawia go anonimowości. W przypadku wystąpienia zdarzenia, możliwe będzie prześledzenie czynności wykonywanych przez poszczególnych użytkowników i identyfikacja sprawcy. Musi się on więc liczyć z konsekwencjami swoich czynów. Monitorowanie jest często funkcją wbudowaną w bardziej zaawansowane systemy informatyczne (np. niektóre aplikacje biznesowe zapisują w logach aktywność zalogowanych użytkowników). Do technik dodatkowych, a zwykle niewykorzystywanych jest np. monitorowanie wydruków (specjalne oprogramowanie robi w tle kopię PDF każdego wydruku).
Ograniczanie praw użytkowników do minimum
Podstawową zasadą przy projektowaniu systemu uprawnień dostępu jest tzw. zasada minimalnych uprawnień. Mówi ona, że dany użytkownik powinien mieć przyznane jedynie minimalne uprawnienia, konieczne do tego aby mógł wykonać swoją pracę. Wszystkie uprawnienia wykraczające poza to minimum powinny mu zostać odebrane. Jest to oczywiście mniej wygodne niż swoboda w układzie "wszyscy mogą wszystko" - ale skutecznie minimalizuje ryzyko ataku, a czasem po prostu zapobiega błędom. Poza możliwościami oferowanymi przez poszczególne aplikacje czy systemy operacyjne - do dodatkowych środków zapobiegawczych należy np. wyłączenie portów USB czy ograniczenie dostępu do niektórych stron w Internecie.
Typowe błędy w tym obszarze
Do najczęstszych błędów w obszarze kontroli dostępu do danych należą np.:
- Wspólny sieciowy katalog, w którym każdy ma dostęp do wszystkiego.
- Pożyczane sobie nawzajem pendrive'y, przenośne dyski itp.
- Niezabezpieczone hasłem komputery i aplikacje, bądź takie samo hasło dla wszystkich.
- Przyznanie wszystkim uprawnień administratora.
2. Przechowywanie danych
Przez przechowywanie danych rozumiemy przechowywanie danych zarchiwizowanych, nie używanych na bieżąco przez żadnego użytkownika. Podstawowym narzędziem ochrony danych w tym obsarze jest kopia bezpieczeństwa. O ile opisane uprzednio techniki koncentrują się na zapobieganiu zniszczeniom - o tyle właściwie wykonana kopia bezpieczeństwa powinna zapewnić możliwość odtworzenia danych, jeśli zdarzenie już wystąpiło. Punkt ciężkości jest zatem przesunięty z zapobiegania (ochrony) - na możliwość powrotu do stanu, który istniał przed zdarzeniem.
Wśród zadań związanych z zapewnieniem właściwej kopii bezpieczeństwa możemy wyróżnić:
- Zapewnienie odpowiedniej kopii bezpieczeństwa (częstotliwość sporządzania, całościowa bądź przyrostowa, lokalizacja przechowywania) - która umożliwi odzyskanie danych,
- Zabezpieczenie przed utratą danych na skutek awarii sprzętowej (np. awaria twardego dysku),
- Zabezpieczenie przed utratą danych na skutek kradzieży (uniemożliwienie złodziejowi odczytanie informacji),
- Zabezpieczenie przed utratą danych na skutek złośliwego oprogramowania (zwłaszcza ransomware).
Typowe błędy w tym obszarze
- Brak sporządzania kopii bezpieczeństwa,
- Kopia sporządzana bez określonego harmonogramu i zakresu ("od przypadku do przypadku"),
- Przechowywanie danych w niezaszyfrowanej postaci,
- Kopia bezpieczeństwa dostępna przez protokół sieciowy (CIFS) wewnątrz firmy.
3. Przesyłanie danych (komunikacja)
To najtrudniejszy do ochrony obszar ze względu na to, że informacje są przesyłane nie tylko wewnątrz firmy - ale również wysyłane i odbierane z zewnątrz, od Klientów. Każda informacja w postaci cyfrowej ma tę właściwość, że można ją w nieskończoność kopiować, a każda kopia ma wszystkie cechy oryginału. Dlatego powinny być podjęte kroki, które mają na celu ograniczenie liczby wykonywanych (często nieświadomie) kopii, a także uniemożliwienie przechwycenia przesyłanej informacji przez osoby trzecie. Do środków zaradczych należy przede wszystkim zasada "trzymaj swoje dane u siebie". Dla przykładu - używany pomiędzy pracownikami Skype® z powodzeniem może zastąpić zainstalowany na własnym serwerze komunikator. Jeżeli poufna informacja musi opuścić firmę (np. jest przesyłana do Klienta) - powinna zostać zaszyfrowana, a hasło powinno mu zostać przekazane innym kanałem komunikacji, niż sama wiadomość.
Typowe błędy w tym obszarze to np.:
- Przesyłanie istotnej informacji w postaci załączników e-mail (co prowadzi z reguły do powstania kolejnej, nie kontrolowanej w żaden sposób i wiecznej kopii)
- Korzystanie z zewnętrznych serwerów poczty,
- Korzystanie z zewnętrznych komunikatorów,
- Odbywanie poufnych rozmów przez telefon,
- Nadmierne drukowanie dokumentów (co prowadzi do powstania papierowych kopii).