Computerworld.pl
 
  1. Strona główna
  2. CIO Executive
  3. Cyfrowy detektyw w firmie

Cyfrowy detektyw w firmie

Czas sfinansować śledczych

Jak wyraźnie pokazał raport Kaspersky Lab, nie tylko zewnętrzny atak może narazić na szwank sieć i systemy komputerowe w firmie, równie dobrze mogą tego dokonać sami pracownicy, i to niekoniecznie w złej wierze. Według raportu opracowanego przez AusCERT "Computer Crime and Security Survey 2006", w 2005 r. z ogólnej liczby ataków 81% pochodziło z zewnątrz, 37% z wewnątrz firmy. Jeśli organizacje chcą powstrzymać kradzieże tożsamości, oszustwa finansowe, kradzież własności intelektualnej, sabotaż i szpiegostwo przemysłowe, muszą poświecić sporą część budżetu IT na informatykę śledczą, audyty i zabezpieczenie sieci. Aby pokonać problem firmowej przestępczości, należy wprowadzić właściwą politykę bezpieczeństwa, której plan reakcji na incydenty będzie zintegrowany z technikami computer forensics. Dlatego też w ciągu najbliższych kilku lat przed CIO i CSO w dużych, ale także i w średnich przedsiębiorstwach stoi podjęcie decyzji o wprowadzeniu computer forensics do polityki bezpieczeństwa. Obecnie większość firm nie ma wewnętrznych zespołów CF, które pomagają poradzić sobie ze specyficznymi incydentami lub wykroczeniami służbowymi. Fakt, że w firmie jest własny zespół CF, zmniejsza prawdopodobieństwo wewnętrznego wycieku informacji i pomaga bronić się przed atakami, a w razie czego wystąpić z oskarżeniem przeciwko nieuczciwym pracownikom i w rezultacie uchronić organizację przed stratami finansowymi. Prawidłowo zebrane, przeanalizowane i zabezpieczone cyfrowe dane przedstawione w protokole CF są decydującym dowodem nie tylko w wewnętrznych dochodzeniach, ale także w ewentualnym procesie sądowym. Pamiętać należy, że metodologie CF są stosowane nie tylko do udowodnienia winy, ale także do dowiedzenia niewinności danej osoby. Liczba pracowników wplątanych w przestępstwa internetowe oraz naruszenie polityki bezpieczeństwa informatycznego firm stale rośnie. Dlatego w USA już 38% firm używa narzędzi i technik CF jako elementu polityki bezpieczeństwa. Nie wszędzie niestety tak jest. W Australii więcej niż połowa organizacji nie stosuje żadnych standardów bezpieczeństwa IT. Polskie przedsiębiorstwa, pomijając korporacje i instytucje finansowe, zbliżają się zapewne bardziej do standardów australijskich niż amerykańskich.

Detektywi u bram polskich firm

Polskie przedsiębiorstwa także zdają sobie sprawę z tego, że posiadanie wewnętrznego działu computer forensics nie tylko pomaga w postawieniu w stan oskarżenia winnych, ale zapobiega przestępstwom komputerowym. Jak wynika z sondaży przeprowadzonego przez firmę MediaRecovery, 70% polskich firm spotkało się już z informatyką śledczą, z czego 27% w praktyce. Z badania wynika także, że 95% przedsiębiorców uważa, że informatyka śledcza stanie się w niedalekiej przyszłości niezbędnym elementem systemów bezpieczeństwa teleinformatycznego. Niestety, wiedza ta nie przekłada się na praktykę. Ankietowani potwierdzili, że polskim organizacjom brakuje rozwiązań pozwalających właściwie reagować na incydenty. A te, które są, bywają zbyt archaiczne.

Zobacz również:

  • 9 cech wielkich liderów IT
  • CIO "bumerangi": liderzy IT awansują, powracając
  • 6 znaków ostrzegawczych, na które CIO powinni zwrócić uwagę w 2024 roku

"W dużych korporacjach odpowiednie polityki bezpieczeństwa są już wdrażane i zawierają szereg elementów informatyki śledczej, chociaż takiej nazwy nikt w wewnętrznych procedurach nie używa ze względu na negatywne skojarzenia związane z samym słowem: śledzić" - mówi Michał Iwan, country manager, F-Secure w Polsce.

Na razie zdecydowana większość przedsiębiorstw korzysta z usług CF już po incydentach, a nie w celu prewencji. Dopóki firma nie posiada wyspecjalizowanej komórki albo dopiero ją tworzy, dopóty nie pozostaje nic innego, jak zwrócić się o pomoc do specjalistów. Tymi mogą być organy ścigania (policja - przy każdej komendzie wojewódzkiej jest odpowiednia jednostka, prokuratura) bądź organizacje pozarządowe i firmy prywatne.

W Polsce 47% przedsiębiorstw korzysta niemal wyłącznie z dokumentów elektronicznych, 90% firm niedostatecznie dba o przechowywanie i przetwarzanie informacji. Jasne jest więc, że zapotrzebowanie na zbieranie i analizę cyfrowych dowodów przestępstw, wykroczeń i nadużyć będzie coraz większe. IDC przewiduje, że światowy rynek usług związanych z bezpieczeństwem osiągnie w 2010 r. niebagatelną wartość 2,13 mld USD i do 2011 r. wzrost ten będzie kontynuowany.

Wypowiedzi ekspertów

Prewencja i edukacja - oręż do walki z wyciekami

Filip Demianiuk, Trend Micro

W wielu firmach polityk bezpieczeństwa nie ma albo są tylko na papierze. Jeśli jednak istnieją, to z reguły zawierają jakieś elementy computer forensics. W większych organizacjach umieszczanie informatyki śledczej w politykach bezpieczeństwa stanie się nie tylko dobrą praktyką, ale i wymogiem. Firmy zatrudniające dedykowane zespoły bezpieczeństwa IT mają zasoby, by skutecznie przeciwdziałać przestępstwom, ale również by analizować próby ataków. Szczególnie w Polsce, która nie jest liderem w dziedzinie ochrony danych, wdrażanie nowych technologii Data Leak Prevention (zapobieganie wyciekom danych) zdecydowanie usprawni mechanizmy obrony. Warto jednak zwrócić uwagę na statystyki. Ponad 78% przypadków wycieku danych jest spowodowane nieroztropnym działaniem niedbałego lub po prostu nie mającego świadomości zagrożeń użytkownika. Poufne dane są kopiowane na urządzenia mobilne, klucze USB, przesyłane firmową, a czasem, niestety, i prywatną pocztą elektroniczną czy przez komunikatory internetowe! Sam poziom świadomości użytkowników dotyczący ochrony danych jest minimalny. Dobre rozwiązania pozwalają edukować użytkowników korporacyjnych. Chronią wszystkie kanały transmisji danych, również poza siecią korporacyjną. Wprowadzając tego typu rozwiązania, możemy zyskać bardzo wiele, jednak nie możemy ufać producentom, którzy mówią, że to doskonale zabezpieczy przed hakerami. Kradzież informacji to bardzo opłacalny biznes i ludzie, którzy się nim zajmują, na pewno będą doskonalili swoje metody działania. Rozwiązania DLP mogą utrudnić ich przestępczą działalność, ale żadne rozwiązanie nie jest w stanie dać gwarancji bezpieczeństwa.

Dowód elektroniczny zabezpiecza firmę i pracownika

Paweł Odor, główny specjalista, Kroll Ontrack w Polsce

Z wielu względów włączenie procedur informatyki śledczej do polityki bezpieczeństwa stanie się motorem rozwoju w firmach specjalizujących się w computer forensics. Po pierwsze organizacje te mają już doświadczenie, przeszkolonych specjalistów, odpowiednie zaplecze sprzętowe i programowe. Myślę, że niektóre wewnętrznie będą w stanie zabezpieczyć dowody, a ich ewentualną analizą będą się zajmować eksperci z tej dziedziny. Poza tym eksperci computer forensics będą mieli za zadanie pomóc w tworzeniu i szkoleniu personelu wewnętrznych działów informatyki śledczej. Stworzenie komórki wyspecjalizowanej w informatyce śledczej nie jest jednak tanie. Dlatego nadal większość firm działająca na rynku, mając wdrożone procedury computer forensics, w przypadku wychwycenia incydentu będzie korzystała z pomocy fachowców z zewnątrz.

Informatyka śledcza jest najbardziej rozwinięta w USA i krajach Europy Zachodniej. Zastosowanie dowodów elektronicznych jest powszechną praktyką stosowaną w przedsiębiorstwach. Typowym działaniem w korporacjach działających w krajach najbardziej rozwiniętych jest m.in. zabezpieczanie danych z komputera pracownika, który zmienia pracę. Takie działanie ma na celu zabezpieczenie interesów obu stron, pracownika i firmy. Określa stan faktyczny w momencie zakończenia współpracy pracownika z firmą oraz wiarygodnie dokumentuje jego działania na rzecz organizacji.

Większa wykrywalność zmniejszy krąg przestępców

Piotr Nogaś, presales consultant manager, Symantec Poland

Wprowadzenie technik informatyki śledczej jest zdeterminowane jednym podstawowym faktem. Firmy zwykle nie są w stanie stwierdzić, że mają do czynienia z wyciekiem danych - żyją w błogiej nieświadomości i nie mają chęci tego zmieniać. Krytyczną więc sprawą dla rozwoju tego rynku jest wprowadzenie regulacji prawnych oraz uświadomienie klientów. Część firm traktuje bezpieczeństwo jako zło konieczne, minimalizując koszty, implementując jedynie podstawowe mechanizmy bezpieczeństwa. Duże firmy zwykle posiadają rozbudowane systemy bezpieczeństwa i w kręgu ich zainteresowań pojawiają się coraz częściej rozwiązania wykrywające i zabezpieczające przed wyciekiem informacji.

Wyścig przestępców z producentami rozwiązań bezpieczeństwa nie ma końca, ale zwiększenie poziomu wykrywalności spowoduje wzrost cen na czarnym rynku cyberprzestępczości. Przełoży się to z kolei na zawężenie grona odbiorców pozyskanych nielegalnie danych.

Lepiej zatrudnić fachowca z zewnątrz

Jacek Badowski, kierownik Działu Informatyki, Laboratorium Kosmetyczne Dr Irena Eris SA

Nie sądzę, aby informatyka śledcza znalazła zastosowanie w firmach i stała się elementem polityki bezpieczeństwa. Chociaż w tej chwili pewne elementy są obecne, np. ustalenie poziomu logowania zdarzeń oraz backup tych logów. Ewentualną analizę można zlecić w razie potrzeby firmie zewnętrznej. Takie podejście wydaje się racjonalne - prawdopodobieństwo wystąpienia incydentu, który musiałby być "wyśledzony", jest na tyle znikome, że tworzenie wyrafinowanej polityki i zatrudnianie ludzi z kompetencjami "śledczymi" jest niecelowe.

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas