Wycieki informacji mają miejsce zarówno w małych firmach, jak i w ogromnych korporacjach. Połowa z nich dokonywana jest z udziałem urządzeń, takich jak laptopy, PDA, pamięci USB flash, płyty CD czy DVD.

W firmach pracuje się już wyłącznie na elektronicznych dokumentach, nawet jeśli zostały wydrukowane, istnieje ich cyfrowy pierwowzór. Przez elektroniczne kanały komunikacji przepływa cały ocean danych, część z nich można sprzedać konkurencji, złośliwie zmodyfikować, zniszczyć. Ale nie tylko przestępczość korporacyjna jest powodem wycieku ważnych informacji. Równie poważna w skutkach może być beztroska pracowników gubiących sprzęt lub przesyłających istotne dokumenty jako załącznik poczty. Na nic się w tym wypadku nie zda siedzenie za dobrym firewallem. Organizację trzeba chronić również od wewnątrz. Dobrym sposobem na zwiększenie tej ochrony może być włączenie informatyki śledczej (computer forensics) do polityki bezpieczeństwa informacji w firmie. Tak już się zresztą dzieje na świecie.

Zobacz również:

• 9 cech wielkich liderów IT
• CIO "bumerangi": liderzy IT awansują, powracając
• 6 znaków ostrzegawczych, na które CIO powinni zwrócić uwagę w 2024 roku

Uciekające dane

Kaspersky Lab, producent oprogramowania związanego z bezpieczeństwem, opublikował raport "Globalne badanie wycieków danych 2006", w którym stwierdza, że w większości przypadków wycieki poufnych informacji dotykają organizacji biznesowych, aż 66% incydentów naruszeń bezpieczeństwa wewnętrznego miało miejsce w prywatnych firmach, a tylko 34% w instytucjach rządowych. Może się to oczywiście wiązać z faktem, że w tych ostatnich podobnych zdarzeń jest mniej i łatwiej je ukryć. Niemniej jednak dane wyciekają z przedsiębiorstw zbyt często, by to ignorować, zwłaszcza że koszty mogą być znaczne. Powoduje to fakt, że konsekwencją naruszenia poufności danych są nie tylko problemy finansowe, ale także utrata reputacji przedsiębiorstwa. W wielu wypadkach dane nie są wcale pozyskiwane przez zewnętrznych agresorów, ale wyciekają z wewnątrz firmy. Na rynku amerykańskim, według Guidance Software i PricewaterhouseCoopers, straty spowodowane nielojalnością pracowników wynoszą 400 mld USD rocznie (suma ta objęła także przestępstwa fałszywej księgowości typu Enron). Według organizacji Privacy Rights Clearinghouse, zajmującej się problemami kradzieży tożsamości, od stycznia 2005 do czerwca 2007 zagrożonych było ponad 155 mln rekordów praw osobowych obywateli w USA. Ryzyko wycieku poufnych informacji jest jeszcze wyższe w Europie i Azji. Zagrożenia te są wynikiem rosnącej liczby włamań do sieci, kradzieży lub zgubienia laptopów i innych urządzeń mobilnych. Na przykład w listopadzie 2006 r. Internal Revenue Service, amerykański inspektorat podatkowy, ujawnił mediom, że w ciągu poprzednich czterech lat skradziono mu prawie 500 laptopów.

Wycieki informacji mają miejsce zarówno w małych firmach, jak i w ogromnych korporacjach, organizacjach komercyjnych oraz rządowych. W grupie wysokiego ryzyka, jak stwierdza raport Kaspersky Lab, znajdują się te organizacje, które pozwalają swoim pracownikom korzystać z urządzeń mobilnych. Połowa wycieków informacji dokonywana jest za pomocą takich urządzeń, jak laptopy, PDA, pamięci USB flash, płyty CD, DVD itd.. Ze względu na niewielki rozmiar urządzenia przenośne są wygodne, ale łatwo można je zgubić lub mogą stać się przedmiotem kradzieży. Oszuści z wewnątrz także chętnie ich używają, bo łatwo wynieść informacje z miejsca pracy, ukrywając je na niewielkich nośnikach.

Drugim najbardziej rozpowszechnionym kanałem wycieku informacji jest Internet (12%). Jest on mniej popularny niż inne media, ponieważ w przeciwieństwie do urządzeń przenośnych za jego pomocą nie można szybko przenieść dużej liczby informacji. Ponemon Institute przeprowadził badanie mające ustalić, jak często dane przenoszone przez pracowników wydostają się poza wewnętrzną sieć organizacji. Ponad połowa z 890 respondentów odpowiedziała, że kopiuje poufne informacje firmowe na klucze USB, chociaż 87% ankietowanych dobrze wie, ze jest to niedopuszczalne według obowiązujących w firmie standardów bezpieczeństwa. Także nie mniej niż 33% przesyła dokumenty firmowe jako załączniki pocztą elektroniczną Połowa badanych nie zastanawia się, czy podobne działania dopuszcza polityka bezpieczeństwa. Szefowie o tym wiedzą, ale nie robią nic, by przeciwdziałać procederowi. Przeprowadzone przez Symantec wraz z norweskim oddziałem Gallup badanie, które miało miejsce w 2004 r., pokazuje, że jeden na dwóch menedżerów podejrzewa, że ich ludzie "wynoszą" na zewnątrz poufne informacje firmy przy pomocy poczty elektronicznej, a mimo to 7 na 10 przedsiębiorstw w ogóle nie zabezpiecza się formalnie i technicznie przed nielojalnymi pracownikami. Osoby mające dostęp do poufnych danych motywowane chęcią osiągnięcia zysków stanowią zaledwie jedną kategorię nieuczciwych pracowników. Największa liczba wycieków informacji (77%) spowodowana jest działaniami niezdyscyplinowanych pracowników. W sektorze TMT (Technologia/Media/Telekomunikacja) poważne naruszenie bezpieczeństwa IT zdarza się w ciągu roku w 50%. Główną przyczyną naruszeń wewnętrznego bezpieczeństwa informatycznego jest nieprzestrzeganie polityki firmy lub podstawowe zaniedbania w sferze ochrony informacji. Trzeba temu zapobiegać.

W Polsce nie jest inaczej; według badania Pricewater-houseCoopers, przeprowadzonego w 2005 r., ponad połowa przedsiębiorstw poniosła straty w wyniku różnego rodzaju nadużyć, w tym także przy wykorzystaniu narzędzi informatycznych. Średnia wielkość szkód została oceniona na 460 tys. USD. Analiza incydentów naruszających bezpieczeństwo teleinformatyczne zgłaszanych do zespołu CERT Polska wykazała, że w roku 2006 odnotowano ich aż 2427. Wśród poszkodowanych najczęściej znajdowały się firmy komercyjne (43,2%).