W świetle ustawy z dnia 16 kwietnia 1993 roku, wykorzystanie w swojej działalności gospodarczej informacji, która by pochodziła od byłego pracodawcy, jest nielegalne oraz zagrożone karą ograniczenia wolności do dwóch lat, zatem ustawa ta dała między innymi przedsiębiorcom prawo do ochrony tajemnic firmy, jednak jednocześnie wprowadziła wymaganie ochrony danych firmy.
Jeden z aspektów zagadnienia ochrony danych stanowi dostępność narzędzi informatycznych. Na polskim rynku pracy, bardzo częstym jest zjawisko migracji pracowników, które stanowi pewien kłopot dla firm ich zatrudniających; pozbawiając pracodawcy sprawnej i dobrze przygotowanej kadry, zmusza się go do poszukiwań nowych pracowników a tym samym - do prowadzenia ciągłych szkoleń. Konsekwencją tych zjawisk jest również nieuniknione łamanie tajemnicy, jaka obowiązuje pracowników w danej firmie, oraz wynikający z tego - przeciek informacji.
W prasie nieustannie znajdujemy informacje dotyczące nieoczekiwanych zmian na stanowiskach kierowniczych; pamiętamy również głośny proces, którym skończył się konflikt pomiędzy VW i Oplem, którego źródłem było podejrzenie właśnie o szpiegostwo przemysłowe, gdzie również i w Polsce zdarzają się już podobne sprawy. Przypadki obejmowania przez szeregowego pracownika danego przedsiębiorstwa wysokiego stołka w konkurencji zdarzają się nawet wśród największych przedsiębiorstw komputerowych. Znana jest historia, w której to szefowa działu kadr danej firmy opuściła ją wraz z listą pracowników zainteresowanych zmianą posady.
Migracje pracowników (przede wszystkim HR Managerów) powodują, iż "nowi" pracodawcy nie muszą w długi i żmudny sposób kompletować swojej kadry. W każdym z wymienionych mamy do czynienia dostarczaniem przez pracowników konkurencyjnej firmie tajnych informacji. Jak wskazują statystyki, zjawisko to bardzo często ma miejsce a drugą jego wadą jest to, iż bardzo trudno jest wykryć i udowodnić komuś wynoszenie informacji poza firmę. Przykładem wynoszenia danych może być ich transfer pocztą elektroniczną, który trwa moment, a jeśli pomysłodawca się wysili nieco - praktycznie nie będzie żadnej możliwości sprawdzenia tego. Większość popularnych systemów operacyjnych, jak Windows, DOS czy nawet UNIX, nie posiadają mechanizmów ograniczających działanie użytkownika, jak na przykład uniemożliwienie kopiowania plików na swój nośnik. Mechanizmy, które umożliwiają na takie ograniczenia, wykorzystywane są przez IBM OS 400, IBM AIX i systemy, które działają na dużych komputerach (mainframe).
Nie jest jeszcze tak dużym problemem, gdy w niepożądane ręce wpadną informacje dotyczące niewielkiej lub nawet średniej wielkości firmy; prawdziwe kłopoty zaczynają się w przypadku przecieków danych mających dużo większe znaczenie, jak na przykład informacje giełdowe, tajemnice państwowe czy też wyniki tajnych badań naukowych. Jeszcze kilkanaście lat temu, możliwości takich przecieków były dość ograniczone, jednak wraz z rozwojem technologii oraz możliwością powszechnego dostępu do Internetu, prędkość transferu informacji jest dzisiaj tak duża, że wręcz niemożliwa do kontrolowania.
Jako przykładem, można się tutaj posłużyć wykorzystaniem poczty elektronicznej dla przesłania poufnych danych, jak na przykład projekt kontraktu. Jakby nie było - do serwera WWW może dotrzeć niemal każdy, a przekaz haseł dostępu nie stanowi zbyt trudnego zabiegu, co daje nieograniczony dostęp do danych firmy. Ponadto, kolejnym udogodnieniem dla nieuczciwych pracowników jest fakt bardzo trudnej lokalizacji takiego szpiega. Wydaje się zatem, iż jedyne wyjście stanowić może przechowywanie poufnych danych na wydzielonych komputerach o ograniczonym dostępie fizycznym, co wprawdzie nie jest zabezpieczeniem przed zaawansowanym wywiadem technicznym, lecz pewnym utrudnieniem, które może zniechęcać pracowników do współpracy z konkurencją.
Jak czytamy w artykule 23 wspomnianej ustawy:
"Kto, wbrew ciążącemu na nim obowiązkowi w stosunku do przedsiębiorcy, ujawnia innej osobie lub wykorzystuje we własnej działalności gospodarczej informacje stanowiące tajemnicę przedsiębiorstwa, jeżeli wyrządza to poważną szkodę przedsiębiorcy, podlega karze pozbawienia wolności do lat 3, ograniczenia wolności lub grzywny."
Zatem warunkiem przepisów ustawy jest konieczność udowodnienia, iż dany pracownik ujawnił objęte tajemnicą dane osobom niepożądanym oraz wykazania poważnej szkodliwości tego czynu dla firmy. Należy zaznaczyć, iż w trakcie szacowania strat rozróżnia się te wynikające ze zwykłej działalności konkurencyjnej od strat, które były wynikiem nieuczciwej konkurencji, a w szczególności rezultatem złamania tajemnicy danego przedsiębiorstwa. Oszacowanie strat firmy spowodowanych przeciekiem informacji jest zabiegiem bardzo skomplikowanym, a zgromadzenie materiału dowodowego w takich sprawach jest niezwykle trudne, jak i późniejsza analiza tego materiału. Dlatego też tak ważną kwestią w dzisiejszych przedsiębiorstwach jest problem bezpieczeństwa oraz ochrony danych.
Jak ukazują liczne badania, firmy ponoszą najwięcej strat na skutek nieuczciwej działalności pracowników, przy czym są to zarówno sfrustrowani menedżerowie z wyższych szczebli jak i niedoceniani urzędnicy oraz inne osoby, które po prostu mają dostęp do tych danych. Duże firmy są o tyle w lepszej sytuacji, iż stać je na sfinansowanie własnego mechanizmu kontroli przy wykorzystaniu zasobów informatycznych; pod tym względem, średnie i małe przedsiębiorstwa są na znacznie gorszej pozycji. Jednak bazę dla bezpieczeństwa interesów firmy stanowi odpowiednie szkolenie pracowników oraz uświadamianie im konieczności sprawowania pieczy nad jej zasobami.
Faktem oczywistym jest, iż bezpieczeństwo danych należy kontrolować; w niektórych firmach istnieją wewnętrzne sekcje kontrwywiadu, których zadaniem jest kontrola poziomu zabezpieczeń. Funkcję kontrolną może pełnić specjalny węzeł pocztowy, który w dyskretny sposób nadzoruje ruch panujący w sieci oraz wysyłane na zewnątrz informacje. Inną stosowaną metodą jest wprowadzanie limitu dostępu do pewnych danych, gdzie każdy z pracowników ma wgląd tylko w te informacje, które mu są niezbędne do pracy. Struktura organizacji firmy powinna zawierać informacje, kto może mieć dostęp, do jakiego typu danych w przedsiębiorstwie. Wprowadzenie takich ograniczeń oraz autoryzowanie przez przełożonych dostępu do plików znajdujących się poza obszarem schematu organizacyjnego firmy umożliwia dość szybkie wykrycie osób za bardzo ciekawskich.
Podstawę limitowania dostępu stanowić powinny hasła zabezpieczające, składające się z minimum sześciu znaków alfanumerycznych (powinny zawierać przynajmniej dwie cyfry). W hasłach należy unikać łatwych sekwencji (jak np. 123). Hasła zabezpieczające powinny być zmieniane, około co 4 do 6 tygodni oraz nie mogą być przechowywane w oczywistych bądź widocznych miejscach (jak na przykład pod klawiaturą). Należy również odpowiednio określić zakres poleceń, które mają być udostępniane poszczególnym użytkownikom.
Słabym punktem przedsiębiorstw jest praca po godzinach ich pracowników, gdzie stanowi ona zarówno oczywistą korzyść jak i może nieść ze sobą zagrożenie, gdyż właśnie wtedy, gdy w firmie przebywa niewielka liczna ludzi, dużo łatwiej można skopiować dane i wynieść je na zewnątrz za pomocą dyskietki czy innego przenośnego urządzenia. Zabieg ten jest o tyle prosty, iż straż przemysłowa zazwyczaj nie wykazuje zainteresowania wynoszonymi przez pracowników dyskietkami. Najczęstszym łupem staja się w tym przypadku listy adresowe, korespondencja, cenniki wewnętrzne itp., ponieważ trudno jest udowodnić komuś fakt skopiowania ich lub wysłania za pomocą poczty elektronicznej w świat.
Wprawdzie sposób projektowania oraz wdrażania systemu ochrony danych zależy od przyjętych rozwiązań i specyfiki danej firmy, to można przyjąć, iż w przypadku komputerów osobistych, które pracują w sieciach takich jak Windows for Workgroup czy Lantastic, trudno jest czegokolwiek zakazać. Należy również przyjrzeć się działalności firm serwisowych, gdyż mimo braku głośnych przypadków, nie można wykluczyć, iż właśnie tym kanałem (czyli za pomocą serwisanta) wypłyną poufne dane firmy. Potencjalnym zagrożeniem w tej kwestii są również pracownicy, którzy mają jakieś pretensje do swojego pracodawcy, gdyż według licznych publikacji, najgroźniejszą grupę na polu sprzedawania danych firmy stanowią właśnie oni. Mogą się oni starać zemścić za bolesne dla nich sytuacje, choćby przez skasowanie pewnych plików z danymi, co stanowić może znaczne obciążenie dla każdej firmy (taki pracownik wie, brak, jakich danych najbardziej zaboli znienawidzonego szefa). Do poważniejszych skutków, prowadzących nawet do paraliżu firmy, zaliczyć należy sformatowanie określonych dysków lub mechaniczne uszkodzenie.
W amerykańskim prawie, sabotaż związany z przestępstwami komputerowymi jest szczególnie surowo karany, podczas gdy w Polsce nie odnotowuje się jeszcze głośnych procesów w sprawach podobnych przestępstw. Nielegalnie wynoszone, poufne informacje firmy niemal zawsze trafiają do rąk konkurencji, a dokładniej mówiąc - do jej komputerów, gdzie tylko niezwykle szczegółowa analiza zawartości urządzeń mogłaby ujawnić fakt wyniesienia danych. Sytuacje takie dotyczą zazwyczaj większych baz danych oraz obszernych dokumentów.
Próba dochodzenia swoich praw poprzez dostęp do komputerów konkurencji, gdzie najprawdopodobniej znajdują się wyniesione informacje, nie jest łatwym zabiegiem; pierwszym problemem są tutaj trudności formalno - prawne, gdyż przeszukania można dokonać jedynie posiadając odpowiedni nakaz sądowy. Nawet w przypadku otrzymania nakazu, samo odnalezienie interesujących nas plików jest bardzo mało realne, a mimo odnalezienia owych zbiorów, udowodnienie, iż zostały one uzyskane na drodze nielegalnej, jest trudne do osiągnięcia. Należy również nadmienić, iż w trakcie przeszukiwania firmy bardzo łatwo jest usunąć nielegalną zdobycz. Zatem jak widać, proces udowodnienia danej firmie, iż jest w posiadaniu nielegalnie uzyskanych danych jest bardzo długi i trudny.
Stosowaną metodą służącą ochronie danych (a może bardziej udowodnieniu przecieku) jest dokonywanie klasyfikacji materiałów na jawne, poufne, tajne, do użytku wewnętrznego oraz tajne o ograniczonym dostępie (określenie stopnia poufności danych jest już wymogiem zawartym w ustawie o nieuczciwej konkurencji). Odpowiedni opis dokumentów wyklucza ewentualne tłumaczenie się nieuczciwych pracowników firmy brakiem wiedzy na temat tajności wyniesionych informacji. Faktem oczywistym jest, iż poufne informacje nie mogą się znajdować w miejscach ogólnodostępnych.
Od jakiegoś czasu prowadzone są liczne dyskusje w kwestii ryzyka wiążącego się z dostępem do Internetu oraz wykorzystywaniem przeglądarek WWW. Mało kto ma świadomość, iż równie niebezpieczne (o ile nie bardziej) mogą być mechanizmy sieciowe Windows 95 i NT. Nieustające dyskusje koncentrują się najczęściej wokół zagrożenia niesionego przez:
- błędy w przeglądarkach WWW
- dodatki do przeglądarek w postaci pluginów
- obiekty ActiveX
- programy w języku Java lub JavaScript
Większość użytkowników sieci nie zdaje sobie sprawy z faktu, iż odwiedzając pewne strony WWW umożliwiają oni przechwycenie nazwy swojego konta sieciowego wraz z używanym hasłem.
W czasach współpracy Microsoftu i IBM przy pracy nad oprogramowaniem sieciowym, został opracowany protokół transmisji SMB (Server Message Block) oparty na wykorzystywanym przez Internet TCP/IP, który był odpowiedzialny za dostęp do zasobów dyskowych oraz drukarek. Mimo, iż protokół ten został zaprojektowany dla sieci opartych na NetBIOSie, gdzie należące do nich komputery z założenia nie komunikowały się z urządzeniami znajdującymi się poza siecią - obecnie wykorzystywany jest on przez Windows 95, Windows 98 oraz NT, dla połączeń wykorzystujących TCP/IP oraz IPX.
Protokół IPX stanowi podstawowy protokół sieciowy, który jest wykorzystywany przez systemy NetWare firmy Novell. Za pomocą protokołu SMB, serwer WWW "nakłania" przeglądarkę do identyfikacji, a więc do podania nazwy użytkownika i hasła dostępu do jego konta. Jeśli chodzi o Windows 95, hasło takie można przechwycić w postaci jawnej natomiast w NT - w postaci zaszyfrowanej. Sytuacja ta wiąże się zarówno z osobami używającymi przeglądarki Internet Explorer jak i Netscape Navigator, przy czym ta druga wydaje się mniej podatna na przekaz informacji dotyczących lokalnego komputera. W całej tej sytuacji najgorszy jest fakt, iż użytkownik nie ma pojęcia o całym procederze, gdyż proces autoryzacji zachodzi w zupełności bez udziału jego osoby.
Wydaje się, iż w przypadku użytkowników sieci NetWare, którzy przechowują wszelkie ważne informacje na serwerze - zagrożenie nie istnieje, jednak oprócz możliwości zainfekowania dysku lokalnego, istnieje dużo większe niebezpieczeństwo. Użytkownicy, zazwyczaj posiadają takie samo hasło na swoim koncie sieciowym jak i w Windows, co może znacznie ułatwiać zapamiętanie, lecz z drugiej strony, w sytuacji przechwycenia kodu dostępu z Windowsa, dostęp do danych umieszczonych na serwerze dla hackera czy administratora WWW jest wręcz nieograniczony. Problem związany z przechwytywaniem haseł można rozwiązać w firmach z dostępem do Internetu, dzięki routerowi, czyli urządzeniu łączącym sieć lokalną z Internetem; wtedy nie wypuszcza się po prostu na zewnątrz sieci pakietów zawierających nazwę oraz hasło użytkownika. Jednak to rozwiązanie nie stanowi ochrony przed użytkownikami naszej sieci lokalnej.
Najlepsze rozwiązanie wykorzystywane w celu odizolowania sieci lokalnej od Internetu stanowi zapora ogniowa (firewall), stanowiąca dedykowane oprogramowanie, służące filtrowaniu pakietów danych, które napływają z Internetu tak, iż do sieci lokalnej znajdującej się za firewallem dostęp mają jedynie odpowiednio zdefiniowane przez administratora sieci informacje. Minusem tego rozwiązania jest znaczne obniżenie wydajności sieci.
Należy mieć świadomość, iż niemal wszystko, co można zrobić za pośrednictwem klawiatury oraz myszki na lokalnym komputerze, można również zrobić w sposób zdalny, poprzez wczytanie spreparowanej strony WWW, która zawiera odpowiednią kontrolkę ActiveX. W przypadku Windows 95 i Windows 98, całkowite usunięcie zagrożenia z powodu ActiveX jest mało możliwe, jednak, jeśli chodzi o NT jest to zabieg dość prosty - należy stworzyć nowe konto o minimalnym zakresie praw dostępu, przez co rozmiar ewentualnych szkód zostaje ograniczony do uprawnień konta.
Wprawdzie projektanci Javy zwrócili od samego początku uwagę na bezpieczeństwo pracy w Internecie, czego wyrazem było nie dodawanie do specyfikacji języka mechanizmów, które by pozwalały na dostęp do sieci oraz dysku lokalnego, jednak zdarzają się przypadki ataków tych programów, które wykorzystywały niedoskonałą implementację mechanizmów bezpieczeństwa przeglądarek WWW. Z drugiej strony, problem stanowi również niedoskonałość JVM (Java Virtual Machine); jest to moduł odpowiedzialny za wykonywanie aplikacji w języku Java. Jak twierdzi firma Sun, wykrytą lukę trudno by było wykorzystać do ataków, jednak Microsoft miał inne zdanie w tej sprawie, co stanowiło niewielkie pocieszenie dla użytkowników, którzy utracili w ten sposób dane. Zatem dla zwiększenia bezpieczeństwa należy wyłączyć w przeglądarce WWW obsługę aplikacji w językach Java oraz JavaScript, co nie stanowi jednak oczekiwanego rozwiązania.
Kolejnym problemem związanym z bezpieczeństwem w sieci, są nieustannie tworzone wirusy i chociaż oprogramowanie antywirusowe jest coraz powszechniejsze wśród użytkowników sieci, problem zakażania komputerów bynajmniej nie maleje, co tylko w niewielkim procencie wynika ze wzrostu liczby użytkowników Internetu. Rozsyłanie wirusów i innych robaków za pomocą Internetu jest coraz prostsze, a zasięg tych infekcji ograniczony jest jedynie do liczby komputerów podłączonych do sieci. Zarażenie komputera może mieć miejsce w przypadku odwiedzenia pewnej strony WWW poprzez kliknięcie danego przycisku, poprzez uruchomienie lub wczytanie ściągniętego pliku itp. Jednak infekcje najczęściej są wynikiem braku wyobraźni użytkowników sieci oraz ich małej wiedzy na temat sposobów rozprzestrzenienia się wirusów. Często zdarza się, iż użytkownik w pierwszej kolejności uruchamia aplikację następnie weryfikując, czy program ten jest bezpieczny. Innym przykładem bezmyślności użytkowników jest otwieranie dokumentów, Worda czy Excela, bez uprzedniego sprawdzenia ich pod względem zawartości wirusów typu makro, które to stanowią o największej liczbie infekcji użytkowników Windows. Należy sprawdzać każdy plik pobrany z Internetu lub też otrzymany za pośrednictwem poczty elektronicznej.
Należy zaznaczyć, iż samo posiadanie odpowiedniego programu antywirusowego nie stanowi jeszcze zabezpieczenia przed zainfekowaniem komputera, gdyż codziennie powstają coraz to nowsze wirusy i możliwości ataku. Odpowiednie zabezpieczenie stanowi aktualizacja bazy naszego oprogramowania co pewien czas tak, by wykrywało ono najnowsze typy robaków (niektóre programy automatycznie uaktualniają bazę wirusów). Mimo tych wszystkich zabiegów, nigdy nie można być w 100% bezpiecznym, choćby z takiej przyczyny, iż zanim dany wirus zostanie odkryty oraz włączony do bazy pomogą minąć dni czy tygodnie, w trakcie których dokonuje on spustoszenia w sieci.
Życie w końcu XX wieku wymaga pogodzenia się z faktem ciągłego wzrostu znaczenia w naszym codziennym życiu różnych technologii informatycznych, co determinuje tak pozytywne jak i negatywne konotacje. Oprócz głośnych wirusów, narażających na niebezpieczeństwo komputery z całego niemal świata, rośnie również liczba osób zajmujących się hackowaniem, które włamują się na różne serwery (włącznie z tymi najlepiej strzeżonymi) zostawiając na nich często bezczelne podpisy w stylu: "Byłem tu. Vader". Mimo, iż nie stanowią oni najczęściej zagrożenia dla zgromadzonych na owych serwerach danych, to psują oni dobre samopoczucie oraz opinię administratorów atakowanych systemów, którzy często nie potrafiąc się obronić przed takimi zamachami, kontratakują za pomocą dziennikarzy rozwijając straszą wizją przyszłości, jeśli taki atak by się jeszcze raz powtórzył.
Taktyka polegająca na demonizacji przeciwnika jest bardzo popularna (szczególnie w przypadku bezsilności osoby atakowanej), lecz należy podkreślić, iż bardzo często chodzi tutaj o bardzo młodych ludzi, których to obwinia się o całe zło świata. Tymczasem na sytuację taką można spojrzeć z zupełnie innej strony - młodzi i mało szkodliwi hackerzy często stanowią ostrzenie przed zagrożeniem a nie samo zagrożenie, gdyż pokazują oni słabe punkty systemu, który mógłby zostać zaatakowany przez ludzi naprawdę niebezpiecznych, którym chodziłoby nie o zabawę, lecz o kradzież poufnych danych. Ci młodzi ludzie często chcą udowodnić, iż sam fakt włamania do danego systemu (często mimo zapewnień administratorów) jest po prostu możliwy, i mimo iż zachowanie takie nie jest godne pochwały, to jednocześnie nie zasługuje bynajmniej na aż takie potępienie.
Potępiać należy jednak brak kwalifikacji oraz odpowiedzialności osób zatrudnionych do ochrony państwowych banków danych, gdyż nienajlepiej o nich świadczy fakt włamania do systemu przez nastolatka dysponującego zwykłym komputerem oraz chwilą wolnego czasu. Prawdziwe niebezpieczeństwo stanowią tutaj jednak profesjonaliści, którzy włamań do archiwów wojskowych, UOPu czy policji i rządu dokonują na zlecenie różnych narkotykowych mafii czy też wywiadów innych państw. Włamania na słabo chronione serwery rządowe, oprócz oczywistego zagrożenia kradzieżą tajnych dokumentów a w konsekwencji sparaliżowania służb specjalnych i innych jednostek państwowych umożliwiają również na przykład werbowanie agentów na podstawie wykradzionych danych osobowych, czy umieszczanie w sieci różnego rodzaju fałszywek, które stanowić by mogły zagrożenie dla międzynarodowych stosunków państwa.
Przed takiego typu zagrożeniami nie uchronią nas urzędnicy państwowi, gdyż ich poziom wiedzy oraz procedury opracowane na takie przypadki po prostu się nie sprawdzają. Jednak to nie młodzi hackerzy stanowią poważne zagrożenie dla krajowych interesów, lecz niefrasobliwi i nieudolni administratorzy dużych państwowych systemów. W interesie każdego z nas jest walka z biurokracją i niedouczeniem państwowych urzędników, którzy zapewniają nas o wysokim poziomie zabezpieczeń, a później próbują zrzucić winę na wszystkich dookoła. Zamiast polegać na urzędnikach warto zastanowić się, nad wykorzystaniem wiedzy i umiejętności młodych ludzi. Być może dobrym rozwiązaniem byłoby zastosowanie dla osób odpowiedzialnych za zabezpieczanie najważniejszych systemów informatycznych, zasady, że administratorem zostaje ta osoba, która pokona zabezpieczenia założone przez inną.
