Źródła zagrożeń systemów informacyjnych przedsiębiorstwa

Wpis przybliża kategorie źródeł ryzyka, które warto wziąć pod uwagę na etapie identyfikacji ryzyka.

bezpieczeństwo informacji

Cyberprzestępcy to nie jedyne źródło niebezpieczeństw grożących firmowym zasobom informacyjnym i urządzeniom służącym do ich przesyłu. Lista kategorii, choć nie jest specjalnie długa, obejmuje liczne bezpośrednie i pośrednie źródła potencjalnych problemów naszej organizacji. W dzisiejszym wpisie zapoznamy się z podstawowymi kategoriami źródeł zagrożeń, co powinno pomóc w diagnozie niebezpieczeństw, na jakie narażone są systemy informacyjne naszego przedsiębiorstwa.

 Najprościej mówiąc…

Najprościej rzecz ujmując, rodzaje zagrożeń dla bezpieczeństwa informacyjnego możemy podzielić na te, których źródłem jest człowiek oraz te, gdzie „sprawcami” są siły natury. Trudno jednoznacznie stwierdzić czy groźniejsza jest Matka Natura czy jej niesforne (a czasami złośliwe) dziecko, czyli człowiek. Choć jedno jest pewne: oba typy zagrożeń niosą potencjał wyrządzenia dużych, często nieodwracalnych szkód.  W związku z czym, analizując ryzyko w ramach zarządzania bezpieczeństwem informacyjnym obie kategorie musimy brać pod uwagę.

Powyższy podział to nie jedyna z prostych klasyfikacji interesujących nas zagrożeń. Źródła ryzyka w tym obszarze możemy podzielić również na:

  • zewnętrzne – wywodzą się z otoczenia przedsiębiorstwa;
  • wewnętrzne – powstają w ramach organizacji;
  • ryzyka losowe – nie mają dającego się jednoznacznie określić podmiotu, któremu można by było przypisać odpowiedzialność.

Jeszcze inny podział źródeł ryzyka obejmuje trzy podstawowe kategorie:

  • technika – słabości, niedoskonałości, specyfika materiałów, a także rozwiązań konstrukcyjnych (technicznych)
  • człowiek – świadome (intencjonalne) i nieświadome działanie człowieka bądź grup ludzi
  • natura – działanie sił natury, żywiołów.

Przedstawione przed chwilą niezłożone klasyfikacje są przydatne dla syntetycznego spojrzenia na interesujący nas problem. Jednak ich praktyczna przydatność jest niewielka, właśnie ze względu na zbyt duży poziom ogólności.

Dążąc zatem do bardziej wyczerpującego spojrzenia na źródła zagrożeń dla informacyjnych zasobów przedsiębiorstwa, możemy wyróżnić pięć następujących, dość pojemnych kategorii.

Katastrofy naturalne

Nie musi to być od razu quasi apokalipsa, rodem z filmów takich jak Pojutrze czy 2012 – zwykła polska burza wystarczy. Niestety lista katastrof jest długa. Tutaj warto wspomnieć głównie o powodziach, pożarach i silnym wietrze, gdyż te pogodowe anomalia w Polsce zdarzają się szczególnie często. Co więcej, ich wpływ na bezpieczeństwo informacyjne jest znaczący (głównie narażone są urządzenia fizyczne przechowujące i przetwarzające dane, a także sieci przesyłowe).

Błąd użytkowników lub operatorów systemu

Człowiek nie jest nieomylny. Ta banalna prawda szczególnie często znajduje potwierdzenie w przypadku systemów informacyjnych.  Możliwości do pomyłki i powodów dlaczego do nich dochodzi jest tak wiele, że nie sposób ich wszystkich wymienić. Za  przykład niech posłuży niewłaściwy montaż wymienianego elementu urządzenia lub omyłkowe wykasowanie ważnych plików przez niefrasobliwego pracownika.

Błędy organizacyjne

Często to jednak nie człowiek jako jednostka jest winny, zawodzi natomiast „system” (ale nie ten informatyczny tylko ten rozumiany jako organizacja firmy). Istotą omawianej kategorii błędów jest wadliwość bądź brak właściwych rozwiązań organizacyjnych. Mogą to być błędy na poziomie polityki bezpieczeństwa informacji organizacji, czy nieskuteczne rozwiązania na niższych szczeblach ogólności (przykładowo źle sformułowana instrukcja postępowania na wypadek wystąpienia awarii systemu). Myśląc o tej kategorii niebezpieczeństw, nie należy zapominać o całej sferze dotyczącej wdrażania rozwiązań organizacyjnych i szkoleniu pracowników, które to jest w zasadzie procesem permanentnym (szczególnie w dobie ewoluujących zagrożeń cyberprzestępczością). Nie mniej ważny jest również nadzór i kontrole, bez których firma może nawet nie być świadoma, że od dłuższego czasu jest ofiarą ataku.

Wrogie działania ludzi

Sprawcami wrogich działań wymierzonych w nasze systemy informacyjne mogą być zarówno podmioty zewnętrzne, jak i członkowie naszej organizacji, a więc pracownicy. Motywacja do działań bywa bardzo zróżnicowana. Informacje w których posiadaniu jest firma podlegają ryzyku kradzieży, usunięciu, manipulacji, czy dezintegracji. A nawet mogą „stać się zakładnikami” cyberprzestępców, żądających za odzyskanie do nich dostępu sowitego okupu (nie słabnie popularność ataków typu ransomware).

Zdesperowani, żądni zemsty, czy po prostu przekupieni przez konkurencję bądź przestępców pracownicy, na bardzo wiele sposobów mogą zagrozić bezpieczeństwu posiadanych przez przedsiębiorstwo informacji. Choćby uszkadzając dane, sprzedając wrażliwe informacji, czy przeprowadzając działania z zakresu sabotażu na elementy firmowej infrastruktury służącej do pracy na danych i ich przechowywania.

Za odrębną grupę niebezpieczeństw powodowanych wrogimi działaniami ludzi trzeba uznać terroryzm. To zagrożenie staje się coraz bardziej prawdopodobne głównie w Europie Zachodniej, ale nie można wykluczyć go także w naszym kraju. Z tego powodu ryzyko wystąpienia zamachu terrorystycznego nie może być na żadnym stopniu zarządzania bagatelizowane. Uwaga ta tyczy się głównie dużych, rozpoznawalnych firm oraz organizacji, które z jakichś powodów uważne mogą być za atrakcyjny cel zamachu. Jeszcze bardziej rośnie znaczenie tego wektora ryzyka w przypadku firm, które operują na terenach szczególnie zagrożonych wystąpieniem aktów terroryzmu.

Awarie sprzętu i wady oprogramowania

Ostatnia grupa zagrożeń jest najmniej spektakularna, co nie oznacza, że należy ją lekceważyć. Awarie sprzętu i wady w oprogramowaniu nie tylko mogą wystąpić, ale wręcz trzeba założyć, że nastąpią. Jedyne pytanie jakie pozostaje, to kiedy się to stanie. Na szczęście na to źródło niebezpieczeństwa mamy, jako decydenci,  całkiem spory wpływ. Działania takie jak zakup wysokiej jakości sprzętu i oprogramowania, ich właściwa eksploatacja oraz szkolenia personelu z zakresu właściwej ich eksploatacji pozwalają znacząco ograniczyć ryzyko.

Warto też pamiętać, iż wady oprogramowania nie tylko niosą ze sobą bezpośrednie zagrożenie dla naszych danych, ale również często otwierają furtkę dla celowych, wrogich działań wymierzonych w naszą organizację.

Znajomość zarysowanego katalogu kategorii źródeł ryzyka pozwala na pełniejszą identyfikację ryzyk, a więc jest dobrym punktem wyjścia do zarządzania bezpieczeństwem informacyjnym przedsiębiorstwa, które powinno opierać się na rzetelnie przeprowadzonej i aktualizowanej analizie ryzyka.

Dodatkowo powyższy katalog można wykorzystać w procesie zarządzania ryzykiem dla ochrony danych osobowych, który stanowi niejako specjalistyczny (specyficzny) typ ryzyka w obrębie szeroko rozumianego bezpieczeństwa informacji.

ZOBACZ RÓWNIEŻ:

Czy warto inwestować w bezpieczeństwo IT?

Motywacje sprawców ataków na infrastrukturę teleinformatyczną firmy

Niebezpieczna drukarka – czyli słów kilka o pouczającej kampanii reklamowej HP 

Hasła – 6 najczęściej popełnianych błędów

PODOBAJĄ CI SIĘ TREŚCI NA BLOGU?

Dołącz do subskrybentów newslettera, aby otrzymywać ciekawe treści, które pomogą Ci zatroszczyć się o bezpieczeństwo Twoje i Twojej organizacji.

KLIKNIJ W PONIŻSZY PRZYCISK!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

trzy × 5 =

error: Content is protected !!