Przestrzeń cybernetyczna jako środowisko działalności przedsiębiorstwa

Pierwszy twardy dysk o pojemności 3,75 MB został stworzony w 1956 r. i ważył tonę. Dzisiaj mogłaby się na nim zmieścić jedna piosenka w formacie mp3 albo zdjęcie wykonane telefonem. Pionierskie komputery, dla których nierzadko przygotowywano specjalne piętro w biurowcu, nie były podłączone do Internetu i służyły do analizy czy porównywania dużych baz danych.

W 1990 r. Instytut Fizyki Jądrowej w Krakowie uzyskał analogowe połączenie (tzn. kablowe) z CERN (Europejska Organizacja Badań Jądrowych) w Szwajcarii. Koszt utrzymania tego łącza o prędkości 9600 bitów na sekundę wynosił wówczas ok. 13 500 000 zł miesięcznie (przed denominacją przeciętne wynagrodzenie w 1990 r. wynosiło 1 029 637 zł). Dla dzisiejszych użytkowników Internetu, którzy, korzystając ze smartfona, mogą na przykład zajrzeć do wnętrza swojej lodówki, ciekawostką może być fakt, że do 1991 r. decyzją amerykańskiej agencji rządowej NSF (National Science Fundation) Internet nie mógł być wykorzystywany do celów komercyjnych. Gdzie teraz jesteśmy?

O jakim więc zagrożeniu mówimy?

W przypadku zagrożeń cybernetycznych pojęcie ryzyka jest znacznie szersze niż dotychczas stosowane przez branżę ubezpieczeniową, ponieważ możemy mówić o ryzyku globalnym. W maju 2017 r. oprogramowanie szantażujące (ransomware) o nazwie WannaCry zainfekowało ponad 300 tys. komputerów w prawie 100 krajach. Szkody wynikające głównie z przerwy w działalności i naprawy sprzętu wyniosły 8 mld dolarów; tylko w Wielkiej Brytanii, jak podał tamtejszy Departament Zdrowia, w wyniku odwołania 19 tys. planowanych wizyt u lekarza strata wyniosła 92 mln funtów.

We współczesnym świecie trudno sobie wyobrazić nagłe zdarzenie losowe (akt siły wyższej) o globalnym zakresie. Pożar, powódź czy huragan mogą spowodować wielkie straty, jednak mają ograniczone, lokalne działanie i występują incydentalnie. Zakres terytorialny działania ryzyk cybernetycznych jest trudny do przewidzenia, a ryzyko szkody oceniamy w kategoriach: nie, czy szkoda wystąpi, tylko kiedy.

O „globalnym” ryzyku przekonaliśmy się także w Polsce. W czerwcu 2017 r. ransomware znany jako Petya zatrzymał działalność spółki Inter Cars SA na prawie cztery dni (po tym czasie przywrócono podstawową sprawność systemów). Informując o tym, zarząd spółki napisał: „To, co się wydarzyło, na długo pozostanie dla nas lekcją, z której będziemy wyciągali wnioski na przyszłość”.

Co powinniśmy chronić?

W przypadku „fizycznego” mienia ocena stanu zabezpieczeń i podatności na szkody wydaje nam się łatwiejsza, ponieważ pomagają nam w tym także wypracowane i powszechne standardy zabezpieczeń. Inaczej sytuacja przedstawia się z naszym „życiem” w wirtualnym świecie, które również ma skutki w postaci realnych problemów. Jeśli po powrocie do domu stwierdzamy wyłamane okno i brak nowego telewizora, wiemy, że był u nas złodziej. Jak zorientujemy się, czy okradziono nas wirtualnie, skoro wszystko stoi na miejscu, bez problemu możemy się zalogować do wszystkich serwisów, w tym także potwierdzić stan konta w banku? Co nam ukradziono? Według Mandiant 2017 Threat Report firmy FireEye średni czas ujawnienia cyberataku w przedsiębiorstwie wynosił w 2016 r. 99 dni. Ta sama firma rok wcześniej informowała, że europejskie firmy potrzebują średnio 469 dni na wykrycie incydentu cyber. Okazuje się, że w wirtualnym świecie nie zawsze pieniądze są celem ataku. Przypuszczalnie zawsze ich zdobycie jest motywem, a włamanie do naszego komputera w domu czy w firmie tylko jednym z elementów do ich pozyskania. Dlatego ważniejszą kwestią jest nie „co”, ale „jak” powinniśmy się chronić oraz zachowywać, aby utrudnić działanie przestępcom. Relacjonowanie prywatnego życia w portalach społecznościowych może być dla złodzieja źródłem do poznania naszych zwyczajów, rozkładu dnia czy planów na najbliższą przyszłość. Prywatność to także konta internetowe, loginy, hasła dostępu oraz urządzenia, z których korzystamy. To są bramy do naszych danych, informacji i pieniędzy. Jeśli na prywatnym telefonie czytamy służbową pocztę, narażamy pracodawcę na utratę poufnych informacji, tak samo jeśli obsługujemy prywatne konto e-mail na służbowym laptopie. W związku z tym utrata nienależycie zabezpieczonego smartfona, laptopa lub innego urządzenia mobilnego z dostępem do kont bankowych, portali społecznościowych, służbowej poczty może rodzić poważne konsekwencje nie tylko dla nas, ale również dla naszego pracodawcy czy partnerów biznesowych.

Dlaczego ważne jest bezpieczeństwo danych osobowych?

W styczniu 2012 r. rozpoczęto prace, które zaowocowały wejściem w życie w dniu 25 maja 2018 r. RODO, czyli Rozporządzenia Ogólnego o Ochronie Danych Osobowych, w Unii Europejskiej figurującego pod nazwą GDPR – General Data Protection Regulation. Było ono wynikiem dostrzeżenia przez Komisję Europejską zwiększonego zagrożenia dla prywatności i braku dostosowania przepisów o ochronie danych osobowych do rozwoju technologicznego. Poza możliwością nałożenia olbrzymiej kary na przedsiębiorcę, który narusza przepisy GDPR (maksymalnie nawet 4 proc. rocznego światowego obrotu lub 20 mln euro), nowe prawo nałożyło na administratora danych osobowych miedzy innymi obowiązek zastosowania adekwatnych do zagrożenia zabezpieczeń organizacyjnych i technicznych. RODO nie daje wytycznych, jakie środki zabezpieczeń mają być zastosowane, i przenosi ten ciężar ryzyka na przedsiębiorcę, który musi w przypadku naruszenia integralności danych udowodnić, że zastosował rozwiązania adekwatne do zagrożeń.