Witajcie. Dosyc delikatna sprawa. Przyznam, ze nie jestem ekspertem od bezpieczenstwa IT - stad moje pytanie
na tym forum.

Jestesmy duza (przez duze D) firma technologiczno-produkcyjna. Gro rozwiazan technologicznych stanowi
o naszej przewadze konkurencyjnej. Niestety ostatnimi czasy mamy wrazenie (graniczace z pewnoscia),
ze poufne informacje technologiczne i handlowe wyciekaja z naszej firmy. Slowem - sabotaz.

Najgorsze w tym wszystkim jest to, ze nasze glowne podejrzenia co do zrodel owych wyciekow
padaja na dzial IT (zyjacy w swoistej komitywie i w oderwaniu od reszy zakladu). Dzial IT jak wiadomo w sferze komunikacji miedzypracowniczej/miedzyfirmowej moze monitorowac praktycznie wszystko (i zacierac slady ewentualnego wynoszenia poufnych informacji).

W zwiazku z tym wydaje nam sie, ze jedynym wyjsciem z takiej sytuacji jest zlecenie audytu bezpieczenstwa
jakiejs niezaleznej zewnetrznej firmie. W zwiazku z tym moje pytania:

- jakie firmy sie tym zajmuja - ktore mozecie polecic
- jaki zakres informacji jestesmy w stanie otrzymac z takiego audytu (czy mozemy np dowiedziec sie jakie pliki byly zgrywane na pamieci USB, co bylo w tych plikach, itp itd.)
- jak wyglada procedura takiego audytu - nam zalezy na pelnym zaskoczeniu (np. kontroli sprzetu, sieci, logow w weekend kiedy nie ma mozliwosci zatarcia sladow)
- jaka jest orentacyjna cena takiego audytu
- jakie informacje/podejrzenia z naszej strony moga pomoc w odnalezieniu zrodel przeciekow


Pozdrawiam i licze na wasza pomoc
Paweł W.

Paweł W. Konsultant, trener

Witam,

Jak widzę sprawa jest bardzo delikatna.
Teoretycznie to dział lub pracownik działu IT jeżeli jest dobry technicznie to będzie w stanie wykraść z firmy dane. Są oczywiście metody na zabezpieczenie się przed takim procederem - lepsze lub gorsze - ale nigdy nie dają 100% pewności. Co do logowania pewnych operacji - w wielu przypadkach jest to możliwe - ale ktoś to logowanie musi włączyć ;)

Sprawa audytu - chyba nikt nie wykona go w ciągu 5 minut. No chyba że przejmie w całości utrzymanie wszystkich systemów informatycznych i "wyłączy" cały dział IT. Ale to raczej nie skończy się dobrze ... dla firmy.
Pewnie także nikt nie dopuści firmy zewnętrznej do systemów bez wcześniejszych uzgodnień itd.

Może trzeba by umieścić w tym dziale zaufaną osobę ?

Jeszcze jedno. To że główne podejrzenia padają na dział IT nie musi być równoznaczne z winą tego działu.

Pozdrawiam
Paweł
Wojciech Zieliński

Wojciech Zieliński IT
Project/Programme/Pe
ople Manager
(PRINCE2
Practicioner...

Obawiam się, że nie uda Ci się zaudytować działu IT - chyba że jest kiepski :) Masz bowiem niestety rację, że IT tak naprawdę może wszystko.
Audyt bezpieczeństwa mający na celu "sprawdzenie" IT (czyli bez jego współpracy) obawiam się że nie ma szans powodzenia. Audyty takie są robione z reguły aby wspomóc IT - co implikuje fakt, że IT musi współpracować.
Jedyne, co można zrobić to - tak jak przedmówca powiedział - wymienić cały dział. Nie powiedziałbym co prawda, że napewno skończy się to porażką dla firmy, ale napewno nie jest to proste, a już zdecydowanie nie tanie :)
Umieszczenie oosby zaufanej - tutaj zaczynamy się bawić w szpiegowanie. Taki szpieg nie tylko musiałby być zaufany (nie musi to być jakiś przyjaciel - wystarczy najemnik, którego zaufanie jest "do kupienia"), ale również dobry na tyle, aby wykryć potencjalny przeciek.
Co ciekawe - takim szpiegiem nie musi być wcale wszechwiedzący informatyk. Można to zrobić "pod przykrywką" Interim Managementu - wdrożenie nowej technologii, a przy okazji "cichy" audyt wewnętrzny.

konto usunięte

Obserwuję ten wątek od samego początku. Sprawa faktycznie trudna i delikatna. Paweł wskazał pewną istotną myśl:
"To że główne podejrzenia padają na dział IT nie musi być równoznaczne z winą tego działu."

Jeżeli to faktycznie z działu IT wypływają pewne informacje - co jest prawdopodobne, bo możliwości IT w przedsiębiorstwie są ogromne, to jestem bardzo daleki, aby uważać, że cały dział jest w cichej zmowie. To prawdopodobnie jedna, sprytna w swoim przekonaiu, osoba kradnie dane i sprzedaje na rynku... Dokładnie z takim przypadkiem udało mi się spotkać. Znalezienie tej osoby jest łatwe, ale pracochłonne i wymaga bardzo solidnej współpracy pomiędzy szefem IT, a biznesem. Teraz pytanie czy ufacie szefowi IT? Myślę, że na tym szczeblu wymagana jest bardzo poważna rozmowa, jeżeli jednak mu nie ufacie, należy go zmienić i powierzyć funcję nowej osobie, która zreorganizuje dział.

Pracownicy IT wcale nie muszą mieć dostępu do całej wiedzy firmy - to nawet nie jest wskazane. Każdy powinien mieć dostęp tylko do tego co mu niezbędbe, ale nie wyszyscy do wszystkiego (nie można dać wszystkim IT uprawnień administratora domeny, przedsiębiorstwa... to nie jest zdrowe i nigdy nie wychodzi na dobre). Ja w całej sytuacji dla was widzę szansę - możecie zreorganizować swój dział (niekoniecznie wymieniając go w całości) zwiększyć bezpieczeństwo przechowywanych informacji, osiągnąć wyższy poziom świadczonych usług.

Co do autytu zewnętrznego - bardzo trudna sprawa - bo dział IT musi przy nim współpracować, a wymiana wszystkich praktycznie z dnia na dzień będzie bardzo, bardzo trudna, szczególnie w przypadku, gdy nieprowadzicie solidnej dokumentacji technicznej i procesowej. Co w przypadku, jeżeli zdecydujecie o pełnej wymianie działu IT, a informacje ja wypływały, tak będą wypływać dalej? Zrobi się bardzo niemiło ;) Uważam, że znacznie lepiej, będzie rozwiązać sytuację wewnętrznie.

Życzę wam, aby problem rozwiązać jak najszybciej. Również mam pewną nadzieję, że to nie IT jest winna sytuacji, bo sam moco utożsamiam się z innymi pracownikami tych działów i będzie mi zwyczjnie wsytd za nich. Niestety czarne owieczki są wszędzie ;(

Jeszcze jedno: nie jestem zwolenikiem szpiegowania pracowników, mimo, że może wydawać się to skuteczne, znakomicie obniża morale załogi, gdy się o tym dowie (a tak się stanie prędzej czy później). Wprowadzenie atmosfery niepewności, strachu demotywuje, a po co znam zdemotywowani pracownicy? Ich remotywacja będzie trudna. Rozwiązaniem powinno być ciche, chirurgiczne cięcie :-)Piotr Kucia edytował(a) ten post dnia 04.09.09 o godzinie 10:03
Sylwester M.

Sylwester M. Full stack developer

Rozpoczalbym ograniczenie praw i dostepu pracownikow do niezbednego minimum. Okreslenie zadan powierzonych i zrobienie dokumentacji gdzie sa slabe punkty. Napewno bez szpiegowania. Wczesniej czy pozniej odbije sie to negatywnie na zespole. U mnie w firmie nawet aby odtworzyc skrypt, potrzeba jest uprawnienie administratora.
Jarosław Żeliński

Jarosław Żeliński Analityk i
Projektant Systemów

Sylwester M.:
Rozpoczalbym ograniczenie praw i dostepu pracownikow do niezbednego minimum. Okreslenie zadan powierzonych i zrobienie dokumentacji gdzie sa slabe punkty. Napewno bez szpiegowania. Wczesniej czy pozniej odbije sie to negatywnie na zespole. U mnie w firmie nawet aby odtworzyc skrypt, potrzeba jest uprawnienie administratora.

osobiście jestem za ta metodą, da sie osiągnąc stan, w którym każdy podsystem ma szczególowo okreslone kto nim zarządza i z czym sie łaczy (interfejsuje), robiac dokładny opis całej architektury da sie (prawie zawsze) tak dobrac uprawnienia administratorów, zeby ŻADNEJ operacji w systemie jako całości nie mogla wykonac jedna osoba.

może sie tak zdarzyć, że wymaga to pewnych zmian w sposobie zarządzania całą siecią ale to koszt utrzymania bezpieczeństwa informacji. W dużym uprosczeniu jezeli jeden ma prawa do oprogramowania biznesowego a inny do sprzetu to wymagae sa co najmiej dwie osoby by wyprowadzic dane i zatrzec slady np. w logach.

Drugi bezsens jaki obserwuję w wielu miejscach to możliwość raportowania ad-hoc bezpośrednio z baz danych ...

Jak trafiam na podobne problemy z bezpieczeństwem u swoich klientów to pierwsze co sprawdzam to własnie raporty i najczęsciej widze, że prawie kazdy może sobie raportowac po całych rejestrach...

niestety jest to wynik tego, ze na etapie analizy wymagan pozwalamy pracownikom by specyfikowali wymagania na systemy ERP i nie tylko, wtedy "każdy robi wszystko i na wszelki wypadek ma prawa do wszystkiego" i jak taka specyfikacja zostanie zrealizowana to system ma daleko do bezpieczeństwa, dlatego jestem wrogiem specyfikowania wymagan rękami pracownikow bo zawsze "cos ugrają dla siebie"...

dostawca oprogramowania z reguły świadomie dopuszcza do takich rzeczy gdyż w tym modelu pracownicy odbieraja oprogramowanie więc pilnie strzegą "swoich uprawnień" wpisanych pierwotnie do specyfikacji a jak ich nie odnajda to nie podpiszą protokołu odbioru więc dostawca robi co sobie tylko zachca... bo wydobyć podpis i fakturę.

w moich oczach więc najwięszym zagrożeniem bezpieczestwa jest sytuacja w kórej pracownicy średniego i niskiego szczebla sa autorami wymagan na oprogramowanie

gdybym mial cos zasugerować to wykonanie analizy obecnej funkcjonalności posiadanego oprogramowania, wskazanie wszystkich ryzykownych punktów i dopiero od tego momentu szukał rozwiązania, przy czym nie szukal bym winnego (bo to będzie teraz trudno udowodnić i jak już wspomniano najpewniej popsuje atmosfere w firmie) a po protu pozatykałbym jak najszybciej wszystkie dziury.
Jakub Mendys

Jakub Mendys Analityk biznesowy
systemów
informatycznych

W celu wykrycia sprawcy proponuję popytać u siebie i u konkurencji o wasze dane - oczywiście w bardzo delikatny i wyważony sposób. W przypadkach o których wiem, znalezienie winowajcy tym sposobem nie nastręczało problemów.
Świat jest znacznie mniejszy niż się wydaje, a ludzie zazwyczaj mówią więcej niż by chcieli.
Powodzenia!
Rafał Korszuń

Rafał Korszuń co-owner @ Kleder

W tym momencie dowolny audyt bezpieczeństwa i tak skupi się na zakreśleniu obszarów odpowiedzialności i dostępu.

Dopiero po określeniu zakresu dostępu, będzie można z dużym prawdopodobieństwem wytypować sprawcę.

W chwili obecnej z opisu wynika, że dział IT jest źle zarządzany pod względem bezpieczeństwa informacji, ponieważ dział jest w stanie tuszować swoje postępowanie, a jego praca nie jest ściśle powiązana z pracą innych działów.

Przydała by się też jakaś polityka bezpieczeństwa, konta administratora na komputerze lokalnym niedostępne dla zwykłych użytkowników oprócz osób ze wsparcia technicznego, blokowanie pamięci USB, serwer wymiany plików wewnątrz korporacji (pozwala logować kto co komu udostępnił) itd...
Mariusz F.

Mariusz F. Inżynier Systemowy

Audyt raczej nie znajdzie zrodla wycieku, gdyz jedynie moze pomoc zokaizowac niebezpieczne miejsca, brak procedur itp.
To, co nalezy zrobic to jak najszybciej wprowadzic odpowiednie dostepy.
Krzysztof Kroczyński

Krzysztof Kroczyński prezes Zarządu,
Orion Instruments
Polska

Tomasz Krawatka:
Witajcie. Dosyc delikatna sprawa. Przyznam, ze nie jestem ekspertem od bezpieczenstwa IT - stad moje pytanie
na tym forum.

Jestesmy duza (przez duze D) firma technologiczno-produkcyjna. Gro rozwiazan technologicznych stanowi
o naszej przewadze konkurencyjnej. Niestety ostatnimi czasy mamy wrazenie (graniczace z pewnoscia),
ze poufne informacje technologiczne i handlowe wyciekaja z naszej firmy. Slowem - sabotaz.

Najgorsze w tym wszystkim jest to, ze nasze glowne podejrzenia co do zrodel owych wyciekow
padaja na dzial IT (zyjacy w swoistej komitywie i w oderwaniu od reszy zakladu). Dzial IT jak wiadomo w sferze komunikacji miedzypracowniczej/miedzyfirmowej moze monitorowac praktycznie wszystko (i zacierac slady ewentualnego wynoszenia poufnych informacji).

W zwiazku z tym wydaje nam sie, ze jedynym wyjsciem z takiej sytuacji jest zlecenie audytu bezpieczenstwa
jakiejs niezaleznej zewnetrznej firmie. W zwiazku z tym moje pytania:

- jakie firmy sie tym zajmuja - ktore mozecie polecic
- jaki zakres informacji jestesmy w stanie otrzymac z takiego audytu (czy mozemy np dowiedziec sie jakie pliki byly zgrywane na pamieci USB, co bylo w tych plikach, itp itd.)
- jak wyglada procedura takiego audytu - nam zalezy na pelnym zaskoczeniu (np. kontroli sprzetu, sieci, logow w weekend kiedy nie ma mozliwosci zatarcia sladow)
- jaka jest orentacyjna cena takiego audytu
- jakie informacje/podejrzenia z naszej strony moga pomoc w odnalezieniu zrodel przeciekow

Pozdrawiam i licze na wasza pomoc

My zajmujemy sie tego rodzaju zadaniami, przeprowadzaliśmy tego rodzaju audyty w kilku dużych firmach przez duże "D".
Proponuję, żeby zechciał się Pan odezwać na priv, spróbuje pomóc.
Jerzy Zientkowski

Jerzy Zientkowski Public speaker and
coach. IT Manager.
Father.

Drodzy i szanowni...

Oprócz audytów, procedur, zabezbieczania skryptów i innych technikaliów bardzo, ale to bardzo polecam szukanie nie tylko, którędy dane wyciekają, ale i - dlaczego.

Przyczyn (oprócz najoczywistszych, pieniędzy) może być kilka, dysfunkcjonalność społeczna działu IT :), chęć zaimponowania komuś, gadatliwość, brak motywacji, whatever.

Takie rzeczy widać w dziale HR, jeśli jest dostatecznie dobry i tam zacząłbym szukanie.

Wdrożenie poaudytowe systemu zabezpieczeń jest minimalizowaniem szans na ucieczkę danych; bez minimalizowania przyczyn tej ucieczki batalii Szanowny Kolega raczej nie wygra :)

Pozdrawiam

Wyślij zaproszenie do