Co robić, żeby nie paść ofiarą kradzieży danych?

Słusznie zarzuca się im brak dbałości o poufne informacje dotyczące ich klientów. Tymczasem mało kto wspomina o tym, że na tych samych wysypiskach z łatwością można znaleźć podobne dane zawarte w dokumentach wyrzucanych przez ich właścicieli.

Brytyjska firma monitorowania kredytów Experian przeprowadziła niedawno badanie, jakie rzeczy ludzie wyrzucają na śmietnik. Z raportu zatytułowanego „Co kryje się za kradzieżami tożsamości i fałszerstwami kart kredytowych” możemy się dowiedzieć, że:
• w 40 % śmietników znaleziono numery kart kredytowych lub płatniczych, co gorsza w większości przypadków były tam także daty ważności kart;
• w 75 % śmietników znaleziono dokumenty zawierające dane osobowe;
• w 20 % śmietników znaleziono numery rachunków bankowych i kody powiązane z adresami;
• w jednym przypadku znaleziono nawet podpisany czek in blanco!
Z raportu jasno wynika, że ludzie usuwający dokumenty potrafią być bardzo nieostrożni. W prawie każdym śmietniku znaleziono informacje, które mogłyby zostać wykorzystane przez oszustów.

Co robić, żeby nie paść ofiarą kradzieży danych? Okazuje się, że nie wystarczą wyrafinowane systemy ochrony sieci komputerowych. Czujnym trzeba być na każdym kroku. Pomijając ostrożność w ich udostępnianiu różnym firmom lub osobom warto poświęcić chwilę uwagi temu, co robimy z dokumentami, na których dane te są umieszczone. Faktury, wyciągi bankowe, zestawienia transakcji kartami kredytowymi, PIT-y czy polisy ubezpieczeniowe mogą być dla złodzieja kluczem do naszych pieniędzy. Każda osoba prowadząca biznes orientuje się, czy może stanowić obiekt zainteresowania wywiadowni gospodarczych. Choć ta metoda pozyskiwania informacji o konkurencji nie jest jeszcze u nas rozpowszechniona, to trzeba pamiętać, że gonimy świat z zadziwiającą prędkością i można się spodziewać, że już wkrótce się tak stanie. W Stanach Zjednoczonych stosunkowo niedawno pojawił się termin COMPETITIVE INTELLIGENCE. Tak określa się działania mające na celu gromadzenie i analizowanie informacji o konkurencji. W większości są one dostępne
oficjalnie, albo bez naruszania przepisów prawa.
Z badań przeprowadzonych w USA wynika, iż najbardziej na takie działania narażone są firmy małe i średnie. Okazuje się, że do zebrania wartościowych informacji wcale nie musi się używać metod Jamesa Bonda. Wprawny analityk używa w tym celu źródeł dostępnych praktycznie bez żadnego wysiłku. Są to np. informacje prasowe i wywiady kierownictwa firmy, prezentacje na konferencjach i targach, czy sprawozdania publikowane zgodnie z obowiązującymi przepisami. Baczne śledzenie ogłoszeń o naborze pracowników, lektura instrukcji obsługi i ulotek do produktów czy regularne odwiedziny na stronie WWW mogą doprowadzić do bardzo interesujących wniosków. Przy odrobinie starań wiele informacji da się uzyskać rozmawiając z naszymi kontrahentami (szczególnie byłymi) albo podsłuchując w miejscach publicznych rozmowy pracowników. Obfite plony mogą przynieść wycieczki po zakładzie albo telefony z prośbą o pomoc w rozwiązaniu jakiegoś problemu. Osobną specjalnością jest obecnie grzebanie w śmietnikach, gdzie niestarannie zniszczony
np. formularz informacji dla banku może wystarczyć jako źródło wszystkich potrzebnych naszej konkurencji informacji.

Choć świadomość niebezpieczeństw związanych z przeciekiem danych stopniowo rośnie, to przeważająca większość właścicieli małych i średnich firm oraz menedżerów nie zdaje sobie sprawy z tego, co można znaleźć w koszach na śmieci działów takich jak Księgowość czy Sprzedaż. Błędny wydruk trafia tam niemal odruchowo. Tymczasem takie materiały jak rankingi klientów, zestawienia należności, projekty akcji promocyjnych czy choćby listy płac stanowią niezwykle niebezpieczne narzędzie w rękach konkurentów. Każdy sprawny szef działu sprzedaży posiadający bazę klientów swych rynkowych przeciwników ma nad nimi kolosalną przewagę nawet jeśli teoretycznie dysponują oni większymi zasobami. Co gorsza, wycieku „wrażliwych danych” firmy nie zauważają, a pracownicy marketingu zachodzą później w głowę, jak to się stało, że konkurenci wprowadzają bardzo podobną akcję promocyjną... o dzień wcześniej. Trudno również powiązać z wyciekiem danych zmniejszanie się obrotów z kluczowymi klientami, choć często taka właśnie jest tego
przyczyna. Posiadanie odpowiednich informacji daje możliwość składania specjalnych ofert tylko wąskiej grupie odbiorców konkurenta. W Polsce źródłem informacji są najczęściej handlowcy przejęci przez konkurencyjne firmy. Ale wejść w ich posiadanie można także tańszą drogą - wystarczy zajrzeć do śmietników.

Mało kto wie, że Kevin Mitnick, jeden z najsłynniejszych hackerów świata zaczynał... od grzebania w śmieciach. W 1981r., jako siedemnastolatek, postanowił wspólnie z dwójką kolegów włamać się do głównego komputera firmy telekomunikacyjnej Pacific Bell. Cała trójka już wcześniej penetrowała pojemniki na śmieci Pacific Bell, dzięki czemu nauczyła się wszystkiego, co było zawarte w podręcznikach technicznych i listach pracowników przedsiębiorstwa. Kiedy już wiedzieli o firmie wystarczająco dużo, postanowili zdobyć kody, które umożliwiałyby im praktycznie swobodny dostęp do systemów komputerowych Bella. W pewną niedzielę Kevin z kolegami po prostu przyszli do budynku Pacific Bell, podając się za autentycznych pracowników (znali przecież nazwiska), wpisali się do księgi i najzwyczajniej w świecie weszli do środka. Po godzinie wyszli z budynku objuczeni cennymi podręcznikami (dotyczącymi m.in. systemu COSMOS, który był bazą danych używaną przez kilka amerykańskich firm telekomunikacyjnych), listami kodów do
cyfrowych zamków i innymi przydatnymi informacjami.
Kiedy po latach zapytano Mitnicka, co by zrobił, aby dostać się do systemu jakiejś firmy, odpowiedział, że zajrzałby do śmieci. „Od tego byłoby dobrze zacząć. Można dowiedzieć się czegoś o przedsiębiorstwie, znaleźć schemat organizacyjny. Pod koniec lat 70-ych i na początku 80-tych zawsze przesiewałem śmieci przedsiębiorstw telefonicznych. W 1981r. znalazłem w śmieciach hasła do jednego z najlepiej strzeżonych komputerów. Wydruk był podarty, ale ileż to roboty skleić go w całość. Reszta to już pestka...”

Francuska firma badawcza Socio Logiciels we wrześniu ubiegłego roku przeprowadziła badania wśród menedżerów i właścicieli małych firm. Miały odpowiedzieć na pytanie, jak postępują oni z ważnymi dokumentami zawierającymi poufne informacje. Okazało się, że 31% spośród badanych usuwa dokumenty przy pomocy niszczarek. Najczęściej można je spotkać przy biurkach pracowników banków (51%) a najrzadziej w gabinetach lekarskich (9%). Bankowcy są najbardziej wyczuleni na efektywne niszczenie dokumentów papierowych, z kolei płyty CD starają się niszczyć przede wszystkim doradcy finansowi (36%) i menedżerowie działów HR (33%). Ponad połowa badanych (51%) zna profesjonalne urządzenia do niszczenia płyt CD. A jak jest w Polsce? Dotąd nikt nie przeprowadził u nas tak precyzyjnych badań. Można jednak stwierdzić, że Polacy coraz poważniej traktują problem bezpieczeństwa swoich dokumentów. Świadczy o tym wzrastająca z roku na rok liczba niszczarek w polskich biurach. Jak podaje światowy lider w produkcji tych urządzeń,
amerykańska firma Fellowes, każdego roku sprzedaje się ich w Polsce od 30 do 40% więcej.

Analiza przypadków kradzieży danych posłużyła lubiącym procedury Amerykanom do sformułowania listy zasad, których przestrzeganie może w znacznym stopniu ustrzec nas przed kradzieżą danych.

1. Po biurze bez nadzoru nie powinny spacerować osoby z zewnątrz. Nie wolno ich wpuszczać do stref szczególnie chronionych. Pracownik zatrudniony wewnątrz takiej strefy i zamawiający np. pizzę musi sam wyjść po jej odbiór na zewnątrz.
2. W firmie koniecznie trzeba mieć niszczarki papieru. Bezzwłocznie należy wrzucać do nich wszystkie niepotrzebne już wydruki poufnych projektów, raportów itp. Warto również korzystać z profesjonalnych firm zajmujących się niszczeniem dokumentów.
3. Zasada "czystego biurka": wychodząc z pokoju nie należy zostawiać na wierzchu żadnych dokumentów.
4. Podczas delegacji nie wolno zostawiać dokumentów lub laptopa w hotelu. W ogóle nie wolno zostawiać ich w samochodzie.
5. Rozmowy dotyczące strategicznych spraw dla firmy mogą być prowadzone tylko w bezpiecznych, sprawdzonych miejscach. Nie powinny się odbywać w obecności osób przypadkowych, np. na prezentacjach, targach czy w restauracjach.
6. Komputery, na których przechowujemy "wrażliwe" informacje powinny być odłączone od sieci, lub dodatkowo zabezpieczone, a osoby na nich pracujące powinny mieć obowiązek częstej zmiany haseł, stosowania programów antywirusowych. oraz zakaz stosowania nie sprawdzonych wcześniej. Dyskietki i płyty CD powinny być przed użyciem sprawdzone programem antywirusowym..
7. Zatrudniając pracowników mających dostęp do danych poufnych, warto dokładnie sprawdzić, jak funkcjonowali w poprzednich miejscach pracy i sporządzić ich portret charakterologiczny za pomocą testów psychologicznych.
8. Systematycznie szkolić pracowników w zakresie stosowania procedur związanych z ochroną informacji. Przypominać o obowiązujących w firmie zasadach, informując o potencjalnym zagrożeniu.
9. Co jakiś czas przeprowadzać wewnętrzne kontrole, których celem ma być potwierdzenie, czy pracownicy stosują się do obowiązujących w firmie zasad - np. przeszukiwać kosze na śmieci.

Warto tych informacji i rad zza oceanu nie traktować jako zwykłych ciekawostek. Nasze doganianie świata zachodniego można w wielu dziedzinach uznać za imponujące, ale niestety obejmuje ono także rozwój metod popełniania przestępstw. Korzystajmy więc z doświadczeń innych, aby ustrzec się przed dotkliwymi stratami.