BEZPIECZEŃSTWO
ELEKTRONICZNE
ORGANIZACJI

 

 

Tekst: Jarosław Sordyl

eDiscovery (Electronic Discovery)

 

Systemy teleinformatyczne są dzisiaj w powszechnym użyciu. Naukę obsługi komputera rozpoczynają małe dzieci w szkole podstawowej a nawet czasami w przedszkolu. Każdy z nas jeżeli nie jest posiadaczem komputera to z niego korzysta w pracy, w szkole, na uczelni. Dzięki komputerom wytwarzamy informacje, gromadzimy je, przesyłamy w dowolne miejsce na świecie. Informacji przechowywanych w systemach IT jest coraz więcej. Od 2003 roku większość informacji, bo 93% ma postać elektroniczną. Z tego 70% nigdy nie została wydrukowana. Dla zobrazowania wielkości posiadanych informacji możemy przytoczyć porównanie: na standardowym dysku o pojemności 1 TB (terabajt), takim jaki każdy może kupić dzisiaj w sklepie elektronicznym z nowym komputeremmoże się pomieścić 7370752 dokumentów, na które składa się 66336768 stron. Jest to ogromna liczba dokumentów i informacji które mogą być tam zawarte a to świadczy tylko o tym, iż ich zapamiętanie, identyfikowanie czy też odnalezienie konkretnej informacji wśród całej reszty bez odpowiedniego wsparcia programowego jest praktycznie niemożliwe.

Problem przetwarzania bardzo duże liczby danych staje się poważny w kontekście różnego rodzaju nadużyć czy tez bardziej poważnych zdarzeń określanych w systemach teleinformatycznych cyberprzestępstwami z którymi praktycznie każda organizacja może się zetknąć, prędzej czy później.

Czym jest cyberprzestępczość? Jaka jest przyczyna różnego rodzaju nadużyć, jaką przebierają obecnie formę oraz w jaki sposób nielegalne działania mogą być eliminowane bądź wykrywane przez rozwiązania eDiscovery. Cyberprzestępczość ma obecnie wiele definicji, określana jest jako przestępczość dokonywana z wykorzystaniem narzędzi zaliczanych do nowych technologii, powiązanych z nowymi technologiami. Czasami definiuje się ten obszar jako przestępczość z wykorzystaniem komputera, dokonanym pośrednio z tymi urządzaniami bądź też celem są systemy komputerowe. Próby ujednolicenia tego obszaru, prawnej definicji zjawiska i tak nie może się porównywać z tym co się dzieje w sieciach teleinformatycznych. Rozwój zagrożeń postępuje w tempie zbliżonym do powstawania nowych rozwiązań technologicznych, programowych. Bezpośrednio po pojawieniu się na rynku nowej aplikacji, nowego systemu operacyjnego grupa „entuzjastów” poszukuje tzw. obejść zabezpieczeń, luk w oprogramowaniu żeby je wykorzystać a czasami sprzedać. Istnieje podziemny rynekw tzw. przestrzeni „DeepNet” niedostępnej bezpośrednio dla zwykłego użytkownika Internetu w którym cyberprzestępcy oferują różne produkty i usługi. Tam tego typu „towary” najzwyczajniej można kupić jak w każdym e-sklepie. Tego typu działalność, działalność cyberprzestępców na całym świecie i generowane z tego tytułu straty dla ekonomii są szacowane rocznie na miliardy dolarów. Na dzień dzisiejszy cyberprzestępczość jest jednym z najpoważniejszych zagrożeń dla użytkowników Internetu ze sprawnie działającym zapleczem zorganizowanym na wzór typowego systemu korporacyjnego.
Dlatego należy zwalczać tego typu działania oraz podejmować konkretne kroki zmierzające do ochrony naszej sieci IT, systemów oraz informacji.
W każdej organizacji informacja stanowi najważniejszy element w całym systemie. Nawet prywatnie, każda osoba posiada informacje stanowiące bardzo wartościowy/ważny element naszego życia – dane osobowe, dokumenty, numery PIN, hasła dostępu do innych systemów, zdjęcia z ostatnich kilkunastu wyjazdów na urlop, narodziny dziecka itp. Te właśnie informacje są celem ataków cyberprzestępców lub osób starających się je wykraść i wykorzystać w swoim celu, najczęściej finansowym. Bardzo często w naszym środowisku businessowym dochodzi do różnych nadużyć. Informacje w organizacji są kluczowym elementem i ich utrata powoduje ogromne straty. Dlatego zabezpieczanie dostępu, czy tez obiegu, przepływu tej informacji musi być nadzorowana, kontrolowana i weryfikowana w przypadku nieprawidłowości. Kto, gdzie kiedy i w jakiś sposób zetknął się z informacja i co z nią zrobił. Ok. 45% ataków na systemy organizacji pochodzi z wewnątrz organizacji… co tylko potwierdza że nawet nasi pracownicy, stają się źródłem zagrożenia dla nas samych. Jak temu przeciwdziałać, jak dotrzeć do informacji potwierdzających nasze podejrzenia, co i jak zrobić żeby udowodnić nieprawidłowe przetwarzanie informacji, czy wręcz kradzież takich zasobów. Nie jesteśmy w takim stanie bezsilni.

Oto w takiej sytuacji z pomocą przychodzą nam rozwiązania z obszaru Electronic Discovery – elektronicznego wyszukiwania informacji – ESI (Electronically Stored Information) - eDiscovery. Dzięki takim aplikacjom mamy możliwość szybkiego odnalezienia każdej informacji nawet historycznej, o której już dawno zapomnieliśmy. Istnieją aplikacje, które pozwalają na odzyskiwanie danych, które zostały usunięte z systemu, bo ktoś chciał zatrzeć ślady swojej działalności. W systemach rozległych, sieciach korporacyjnych liczących nie setki ale tysiące komputerów odnalezienie tej jednej informacji byłoby niemożliwe ale nie z eDiscovery.

Wiele organizacji na świecie stosuje rozwiązania eDiscovery do kontrolowania i nadzoru nad informacjami. Regulacje prawne obowiązujące w kilkunastu krajach powodują, iż eDiscovery jest standardowym oprogramowaniem funkcjonującym obok innych aplikacji zapewniających bezpieczeństwo. Electronic Discovery to nie tylko oprogramowanie ale również obszar problematyki zajmujący się wyszukiwaniem, identyfikowaniem, lokalizowaniem oraz zabezpieczaniem danych i informacji w systemach IT. Bardzo często w systemach prawnych np. w Stanach Zjednoczonych Ameryki obowiązuje wręcz obowiązek zabezpieczania i udostępniania na żądanie strony, informacji potwierdzających nielegalne działania a w tym pomóc może właśnie eDiscovery.

Jak działają takie aplikacje w dużych organizacjach, doświadczanych przez cyberprzestępców i prowadzonych przez nich ataki, czy np. kradzieży danych i przesłania ich pocztą e-mail? Po identyfikacji takiego zdarzenia wystarczy odpowiednio skonfigurować program eDiscovery do odnalezienia konkretnego dokumentu na podejrzanej stacji komputerowej np. Pana X. Poszukujemy dokumentu o nazwie „ważna informacja projektowa”. Nie wiemy czy ta osoba wykasowała tę informację ale wiemy na jakiej stacji komputerowej pracował nasz „podejrzany”. To co możemy zrobić to uruchomić program do eDiscovery na tej właśnie stacji, z opcją wyszukiwania również informacji usuniętych. W praktyce, nie zdarzyło się aby nie udało się odnaleźć takich informacji, które wskazują bezpośrednio na nadużycia oraz dowodzą winy osoby, która była podejrzewana o nielegalną działalność. Lata obecnych doświadczeń dowodzą skuteczności działania aplikacji do śledczego prowadzenia działań eDiscovery. Należy tutaj dodać że nie każda aplikacja z tego obszaru posiada takie same funkcjonalności i daje takie same wyniki. Obszar informatyki śledczej (odzyskiwania, zabezpieczania do dalszej procedury) jest wykorzystywany i dostępny tylko w wyspecjalizowanych aplikacjach e-discovery.

Dla każdego szefa firmy, dyrektora, prezesa ważna jest informacja o bieżących zagrożeniach pochodzących z sieci teleinformatycznej, Internetu, które mogą spowodować bardzo poważne straty. Straty nie tylko finansowe ale również wizerunkowe. Czy ktokolwiek chciałby prowadzić interesy z firmą, która nie dba o swoje bezpieczeństwo? Najprawdopodobniej nie i tak jest w realnych sytuacjach. Ten kto nie dba o swoje bezpieczeństwo nie dba również o bezpieczeństwo innych. Ale organizacje dojrzałe, inwestujące w swoje bezpieczeństwo mogą również skorzystać z możliwości reagowania, skutecznego reagowania na zagrożenia pochodzące z wewnątrz/zewnątrz i skierowane na kradzież lub niszczenie danych. Electronic Discovery jest elementem, które wykorzystane w takie sytuacji całkowicie jest w stanie usunąć problem i spowodować, iż prowadzenie naszego biznesu będzie się skupiało na rozwoju i pozyskiwaniu nowych klientów a nie na działaniach antyprzestępczych.