WikiLeaks, Snowden a emitenci

Coraz większym problemem dla wielu spółek giełdowych staje się kwestia bezpieczeństwa danych.

Aktualizacja: 11.02.2017 00:24 Publikacja: 25.07.2013 06:00

Mirosław Kachniewski, prezes zarządu, Stowarzyszenie Emitentów Giełdowych

Mirosław Kachniewski, prezes zarządu, Stowarzyszenie Emitentów Giełdowych

Foto: GG Parkiet

Z jednej strony rozwój technologiczny, presja na koszty i dążenie do elastyczności zatrudnienia aż proszą się o zmianę tradycyjnego podejścia „mam wszystko u siebie", z drugiej zaś – rzeczywiste i urojone problemy związane z bezpieczeństwem „wypuszczonych" danych stają się istotną barierą rozwoju. Czy da się jakoś te problemy rozwiązać?

Jeszcze kilkanaście lat temu problem ochrony danych był stosunkowo łatwy do rozwiązania. Każdy miał komputer na biurku i w zasadzie ryzyko wiązało się z fizyczną kradzieżą lub zniszczeniem sprzętu. Z czasem komputery zyskały dostęp do Internetu, co spowodowało łatwość eksportu danych i ściągnięcia różnego rodzaju wirusów. A potem sytuacja rozwinęła się dynamicznie – praca zdalna, praca zdalna z wykorzystaniem własnego sprzętu (BYOD – Bring Your Own Device), zdalne stanowisko pracy (składające się w zasadzie z klawiatury, myszy i monitora, bo całość procesów informatycznych zachodzi w jednostce centralnej), zasoby informatyczne w „chmurze", a do tego doszła rewolucja smartfonowa.

Czeka nas dalsza ewolucja

Dzięki tym wszystkim wynalazkom jest dużo taniej i wygodniej. Nie musimy kupować tyle sprzętu (serwerów, stanowisk pracy) ani utrzymywać działu IT w pełnym zakresie (wyoutsourcowaną częścią IT zajmuje się przecież ktoś inny). Praca staje się bardziej elastyczna – poprzez możliwość pracy zdalnej, w zasadzie w dowolnym miejscu na świecie każdy pracownik ma swoje wirtualne „biurko". Do tego dochodzi bezpieczeństwo – specjaliści dbają o ochronę antywirusową, nadzorują, czy dane nie wyciekają. Krótko mówiąc – korzyści skali „pełną gębą".

Firma Cisco przeprowadziła badania Global IT Impact Survey (z udziałem 1300 osób decyzyjnych w zakresie IT z 13 krajów, niestety bez Polski), z którego wynika, że czeka nas dalsza ewolucja. Będziemy świadkami intensyfikacji zarysowanych powyżej procesów. O ile w ubiegłym roku na własnym sprzęcie pracował przynajmniej co czwarty pracownik, to w przyszłym roku respondenci oczekują, że będzie to co drugi. Co ciekawe, najniższy udział pracy w systemie BYOD jest w krajach dość rozwiniętych: Japonia, Francja, Niemcy, Wielka Brytania, Australia, a najwyższy w Rosji, Indiach, Brazylii i Meksyku.

Chmura coraz większa

Podobnie rośnie udział aplikacji ulokowanych w „chmurze" – w ubiegłym roku dominowała odpowiedź, „mniej niż 10 proc.", w bieżącym – „10–20 proc.", a w przyszłym „21–50 proc.", przy czym bardzo duża grupa respondentów wskazała na odpowiedź „powyżej 50 proc.". Największy potencjał rozwoju „chmury" widzą informatycy z Brazylii, Meksyku, Chin i Indii.

Do tego dochodzi jeszcze jedno zjawisko, na tyle nowe, że nie ma jeszcze jednolitej nazwy – „Internet of things" lub „Internet of everything". Chodzi tu o możliwość podłączenia do sieci praktycznie wszystkiego, co umożliwia np. bardzo dokładne monitorowanie całego łańcucha dostaw od pozyskiwania surowców poprzez proces produkcji i dystrybucji, aż po obecność produktu na półkach sklepowych i późniejsze oceny użytkowników. Przy czym dzieje się to „samo", dzięki połączeniu za pośrednictwem Internetu różnego rodzaju czujników, urządzeń, aplikacji. Na liderów w tym obszarze mogą wyrosnąć Chiny, Brazylia i Meksyk, bo tam wiedza na temat samego zjawiska i perspektyw zastosowania w biznesie jest największa.

Grozi nam katastrofa?

Wszystkie przedstawione powyżej rozwiązania mają tę cechę wspólną, że wiążą się z przesyłaniem mnóstwa danych i przechowywaniem ich poza przedsiębiorstwem. Z jednej strony jest to dobre, gdyż powierzamy problem opieki nad danymi profesjonalistom, z drugiej natomiast – grozi to katastrofą. Możemy to porównać do zabezpieczenia przed powodzią – jeśli zbudujemy na rzece tamę, to mamy wrażenie, że kontrolujemy wodę. Unikamy drobnym podtopień, ludzie czują się bezpieczniej, budują domy na dawnych terenach zalewowych, rośnie pokolenie totalnie nieświadome zagrożenia powodzią. W związku z tym jeśli kiedyś tama puści, to zniszczenia będą olbrzymie. Podobnie z ochroną danych – użytkownicy mają przekonanie, że zawsze do tych danych będą mieli dostęp na odległość i że te dane są bezpieczne.

Czy zatem dane są bezpieczne? Jak je chronić? Te „leżące" w bazach i te „wędrujące" ze swej natury, np. e-maile? Oczywiście nigdy nie można mieć 100-proc. pewności, że dane nie wyciekną. Potwierdza to portal WikiLeaks, historia Snowdena czy pojawiające się od czasu do czasu dane z rajów podatkowych. Ale wydaje się, że przechowywanie danych poza spółką, pomimo powyższych zastrzeżeń, będzie rozwiązaniem lepszym, tańszym i bezpieczniejszym. A prowadząc korespondencję musimy mieć świadomość, że dane „wędrujące" zawsze mogą być przejęte i rozszyfrowane – to tylko kwestia czasu i nakładów. I należy mieć nadzieję, że nasza korespondencja jest na tyle „hermetyczna" w warstwie językowej i na tyle szybko się dezaktualizuje, że nie zostanie wykorzystana przez nieuczciwą, szpiegującą konkurencję.

Oczywiście w kontekście powyższych rozważań nasuwają się kolejne pytania – jak „outsourcing danych" ma się do ochrony informacji poufnych w spółce? Czy spółka może przechowywać na zewnętrznych serwerach informacje mogące wpłynąć na cenę lub wartość akcji? Jak oddzielić informacje cenotwórcze od pozostałych? Niestety, w tym przypadku regulacje nie dają nam jasnych odpowiedzi na pytania kreowane przez rozwój technologiczny.

Opinie

Podmiot zewnętrzny a informacje poufne - Marek Wierzbowski, partner zarządzający kancelarii Prof. Marek Wierzbowski i Partnerzy – Adwokaci i Radcowie Prawni

Do obowiązków spółki giełdowej należy nie tylko właściwe zabezpieczenie danych wrażliwych, ale również ostrożne i stabilne zarządzanie technologią informatyczną oraz identyfikacja ryzyka w taki sposób, aby nie naruszyć ustawowego zakazu ujawniania  informacji poufnych w rozumieniu ustawy o obrocie instrumentami finansowymi.

Jednocześnie brak jest przepisów prawnych regulujących w sposób jednoznaczny kwestię możliwości wykorzystania serwerów zewnętrznych w kontekście ochrony informacji poufnych spółki giełdowej. W związku z powyższym do sprawy należy podchodzić ostrożnie, mając na uwadze przede wszystkim takie ukształtowanie umowy zawieranej z podmiotem dostarczającym usługi przechowywania danych w modelu cloud computing, aby uczynić zadość przepisom zakazującym ujawniania informacji poufnych.

W ramach outsourcingu danych spółka niejako przekazuje kontrolę nad bezpieczeństwem podmiotowi zewnętrznemu. Istotne jest, aby zapewnić odpowiedni system szyfrowania i certyfikacji danych celem uniemożliwienia dostępu do danych osobom spoza spółki, a w szczególności informatykom pracującym dla podmiotu zewnętrznego. W przypadku braku zapewnienia odpowiedniego mechanizmu kontroli dostępu może dojść do naruszenia przepisów regulujących sposób postępowania z informacjami poufnymi w spółkach giełdowych.

Należy jednakże zwrócić uwagę, iż każde przechowywanie danych niesie ze sobą ryzyko ich ujawnienia, bez względu na to czy informacje przechowywane są w siedzibie spółki czy poza nią. W celu możliwie najpełniejszego zabezpieczenia danych można posiłkować się Rekomendacjami D wydanymi przez KNF dotyczącymi zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach.

Wyciek? 80 proc. przypadku - Marek Kobielski, prezes zarządu NextiraOne Polska & Central Europe

Wartość wyciekających danych jest ściśle zależna od branży, w której działa przedsiębiorstwo, oraz rodzaju usług, które świadczy. Dodatkowo w przypadku spółki notowanej na giełdzie każdy wyciek danych może mieć bezpośredni wpływ na jej reputację, a także na kurs akcji.

Z raportów firm konsultingowych, m.in. Forrester Research Inc. (dokument The Forrester Wave – Data Leak Prevention), wynika, że do około 80 proc. incydentów związanych z wyciekiem danych z firmy dochodzi przez przypadek. Najczęstsze przyczyny to nieznajomość polityki bezpieczeństwa organizacji czy też brak świadomości pracowników, że posiadane dane są krytyczne z punktu wiedzenia przedsiębiorstwa.

Wzrastające wymagania wobec pracowników związane z budową zespołów wirtualnych (praca grupowa) czy konieczność pracy poza firmą (mobilność), a także praca zdalna z wykorzystaniem własnego sprzętu BYOD wskazują, że konieczne jest wprowadzenie kompletnie nowego podejścia do zagadnienia wycieku danych z przedsiębiorstwa. Nowe podejście oznacza pełną kontrolę przepływu informacji wewnątrz organizacji i systematyczne komunikowanie/przypominanie pracownikom procedur związanych z przechowywaniem i przetwarzaniem danych poufnych i wrażliwych dla przedsiębiorstwa.

Podstawowe działanie to kontrola plików znajdujących się na komputerach pracowników pod kątem danych poufnych i weryfikacji, czy dany użytkownik może mieć dostęp do takich danych. Następnie sprawdzanie, czy wskazane pliki nie są przegrywane na nośniki zewnętrzne, takie jak Flash Dysk czy nośnik CD/DVD, oraz czy nie są przesyłane na zewnątrz firmy z wykorzystaniem poczty elektronicznej. Rozwiązania, które zapewniają taki poziom kontroli i ochrony informacji, to DLP (Data Leak Protection/Prevention). Dla poprawnego wdrożenia rozwiązań klasy DLP konieczne jest zaangażowanie najwyższych szczebli kierownictwa firmy, które określą w ramach organizacji, jakie informacje są krytyczne, którzy pracownicy mają mieć do nich dostęp i za pomocą jakich narzędzi. Bez właściwej klasyfikacji informacji oraz określenia polityki dostępu zarządzanie informacją oraz raportowanie z naruszeń wdrożenia będą niemożliwe.

Komentarze
Zamrożone decyzje
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
Komentarze
Co martwi ministra finansów?
Komentarze
W poszukiwaniu bezpieczeństwa
Komentarze
Polski dług znów na zielono
Materiał Promocyjny
Cyfrowe narzędzia to podstawa działań przedsiębiorstwa, które chce być konkurencyjne
Komentarze
Droższy pieniądz Trumpa?
Komentarze
Koniec darmowych obiadów