Źródła zagrożeń systemów informacyjnych przedsiębiorstwa

bezpieczeństwo informacji

Cyberprzestępcy to nie jedyne źródło niebezpieczeństw grożących firmowym zasobom informacyjnym i urządzeniom służącym do ich przesyłu. Lista kategorii, choć nie jest specjalnie długa, obejmuje liczne bezpośrednie i pośrednie źródła potencjalnych problemów naszej organizacji. W dzisiejszym wpisie zapoznamy się z podstawowymi kategoriami źródeł zagrożeń, co powinno pomóc w diagnozie niebezpieczeństw, na jakie narażone są systemy informacyjne naszego przedsiębiorstwa.

 Najprościej mówiąc…

Najprościej rzecz ujmując, rodzaje zagrożeń dla bezpieczeństwa informacyjnego możemy podzielić na te, których źródłem jest człowiek oraz te, gdzie „sprawcami” są siły natury. Trudno jednoznacznie stwierdzić czy groźniejsza jest Matka Natura czy jej niesforne (a czasami złośliwe) dziecko, czyli człowiek. Choć jedno jest pewne: oba typy zagrożeń niosą potencjał wyrządzenia dużych, często nieodwracalnych szkód.  W związku z czym, analizując ryzyko w ramach zarządzania bezpieczeństwem informacyjnym obie kategorie musimy brać pod uwagę.

Powyższy podział to nie jedyna z prostych klasyfikacji interesujących nas zagrożeń. Źródła ryzyka w tym obszarze możemy podzielić również na:

  • zewnętrzne – wywodzą się z otoczenia przedsiębiorstwa;
  • wewnętrzne – powstają w ramach organizacji;
  • ryzyka losowe – nie mają dającego się jednoznacznie określić podmiotu, któremu można by było przypisać odpowiedzialność.

Przedstawione przed chwilą niezłożone klasyfikację są przydatne dla syntetycznego spojrzenia na interesujący nas problem. Jednak ich praktyczna przydatność jest niewielka, właśnie ze względu na zbyt duży poziom ogólności.

Dążąc zatem do bardziej wyczerpującego spojrzenia na źródła zagrożeń dla informacyjnych zasobów przedsiębiorstwa, możemy wyróżnić pięć następujących, pojemnych kategorii.

Katastrofy naturalne

Nie musi to być od razu quasi apokalipsa, rodem z filmów takich jak Pojutrze czy 2012 – zwykła polska burza wystarczy. Niestety lista katastrof jest długa. Tutaj warto wspomnieć głównie o powodziach, pożarach i silnym wietrze, gdyż te pogodowe anomalia w Polsce się zdarzają. Co więcej ich wpływ na bezpieczeństwo informacyjne jest znaczący (głównie narażone są urządzenia fizyczne przechowujące i przetwarzające dane, a także sieci przesyłowe).

Błąd użytkowników lub operatorów systemu

Człowiek nie jest nieomylny. Ta banalna prawda szczególnie często znajduje potwierdzenie w przypadku systemów informacyjnych.  Możliwości do pomyłki i powodów dlaczego do nich dochodzi jest tak wiele, że nie sposób ich wszystkich wymienić. Za  przykład niech posłuży niewłaściwy montaż wymienianego elementu urządzenia lub omyłkowe wykasowanie ważnych plików przez niefrasobliwego pracownika.

Błędy organizacyjne

Często to jednak nie człowiek jako jednostka jest winny, zawodzi natomiast „system” (ale nie ten informatyczny tylko ten rozumiany jako organizacja firmy). Istotą omawianej kategorii błędów jest wadliwość bądź brak właściwych rozwiązań organizacyjnych. Mogą to być błędy na poziomie polityki bezpieczeństwa informacji organizacji, czy nieskuteczne rozwiązania na niższych szczeblach ogólności (przykładowo źle sformułowana instrukcja postępowania na wypadek wystąpienia awarii systemu). Myśląc o tej kategorii niebezpieczeństw nie należy zapominać o całej sferze dotyczącej wdrażania rozwiązań organizacyjnych i szkoleniu pracowników, które to jest w zasadzie procesem permanentnym (szczególnie w dobie ewoluujących zagrożeń cyberprzestępczością). Nie mniej ważny jest również nadzór i kontrole, bez których firma może nawet nie być świadoma, że od dłuższego czasu występuje w roli nieświadomej ofiary.

Wrogie działania ludzi

Sprawcami wrogich działań wymierzonych w nasze systemy informacyjne mogą być zarówno podmioty zewnętrzne, jak i członkowie naszej organizacji, a więc pracownicy. Motywacja do działań bywa bardzo zróżnicowana. Informacje w których posiadaniu jest firma podlegają ryzyku kradzieży, usunięciu, manipulacji, czy dezintegracji. A nawet mogą „stać się zakładnikami” cyberprzestępców, żądających za odzyskanie do nich dostępu sowitego okupu (coraz popularniejszy ostatnio typ ataków określany mianem ransomware).

Zdesperowani, żądni zemsty, czy po prostu przekupieni przez konkurencję bądź przestępców pracownicy, na bardzo wiele sposobów mogą zagrozić bezpieczeństwu posiadanych przez przedsiębiorstwo informacji. Choćby uszkadzając dane, sprzedając wrażliwe informacji, czy przeprowadzając działania z zakresu sabotażu na elementy firmowej infrastruktury służącej do pracy na danych i ich przechowywania.

Za odrębną grupę niebezpieczeństw powodowanych wrogimi działaniami ludzi trzeba uznać terroryzm. To zagrożenie staje się coraz bardziej prawdopodobne nie tylko w Europie Zachodniej, ale także w naszym kraju. Z tego powodu ryzyko zaistnienia zamachu terrorystycznego nie może być na żadnym stopniu zarządzania bagatelizowane. Uwaga ta tyczy się głównie dużych, rozpoznawalnych firm oraz organizacji, które z jakichś powodów uważne mogą być za atrakcyjny cel zamachu.

Awarie sprzętu i wady oprogramowania

Ostatnia grupa zagrożeń jest najmniej spektakularna, co nie oznacza, że należy ją lekceważyć. Awarie sprzętu i wady w oprogramowaniu nie tylko mogą wystąpić, ale wręcz trzeba założyć, że nastąpią. Jedyne pytanie jakie pozostaje, to kiedy się to stanie. Na szczęście na to źródło niebezpieczeństwa mamy, jako decydenci,  całkiem spory wpływ. Działania takie jak zakup wysokiej jakości sprzętu i oprogramowania, ich właściwa eksploatacja oraz szkolenia personelu pozwalają znacząco ograniczyć ryzyko.

Warto też pamiętać, iż wady oprogramowania nie tylko niosą ze sobą bezpośrednie zagrożenie dla naszych danych, ale również często otwierają furtkę dla celowych, wrogich działań wymierzonych w naszą organizację.

Znajomość zarysowanego katalogu kategorii pozwala na pełniejszą identyfikację ryzyk, a więc jest dobrym punktem wyjścia do zarządzania bezpieczeństwem informacyjnym przedsiębiorstwa, w tym do przeprowadzenia analizy ryzyka.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

2 × five =