Szyfrowanie laptopów - konieczność czy wymysł?

2013-06-13 | Blog

Mobilna praca wymusza ciągłe przemieszczanie się pomiędzy kontrahentami, miejscem pracy i innymi lokalizacjami. Najczęściej razem z pracownikiem przemieszcza się jego służbowy laptop z firmowymi danymi: ofertami, planami strategicznymi, korespondencją, danymi osobowymi. Wystarczy zagubienie lub kradzież komputera, żeby wszystkie te dane trafiły w niepowołane ręce.

W czerwcu 2012 roku Radio Zet podało informację (za portalami www.polemi.co.ukwww.information-age.com) o dwóch laptopach, które skradziono z budynków Glasgow City Council (organ administracji lokalnej). Na jednym z nich znajdowała się historia wpłat 20 143 osób, ich dane osobowe, adresy zamieszkania, a w przypadku 6 069 osób także dane bankowe. Pracownicy, którzy pracowali na skradzionych komputerach, kilkakrotnie prosili swoich przełożonych, aby zaszyfrować te dane, jednak to się nie stało.

Śledztwo przeprowadzone przez ICO (Information Commissioner’s Offcie – odpowiednik GIODO) wykazało, że urząd miasta Glasgow nie reagował też na upomnienia związane z używaniem niezabezpieczonych komputerów. Dalsze dochodzenie wykazało, że z urzędu zginęło w sumie 74 służbowych laptopów i niezaszyfrowana karta pamięci. City Council zostało ukarane mandatem w wysokości 150 tysięcy funtów, ale nie zmieniło to faktu, że dane wyciekły.

Według Instytutu Ponemon1, straty spowodowane kradzieżą lub zgubieniem komputerów wyniosły w 2010 roku aż 1,79 miliardów dolarów. Zgubiono aż 72 tysiące komputerów przenośnych, z których jedynie 34% miało jakiekolwiek rozwiązania do szyfrowania danych. Największe straty odnotowano w firmach, w których zatrudnienie wynosiło od 5 do 25 tysięcy pracowników. Raport sporządzono na podstawie ankiet przeprowadzonych na 275 przedstawicielach europejskich organizacji, głównie instytucjach rządowych, finansowych i branży przemysłowej.

Rozporządzenie Rady Ministrów z 12 kwietnia 2012 roku daje wytyczne, na czym w szczególności powinno polegać zapewnienie bezpieczeństwa w systemach teleinformatycznych:

  1. dbałości o aktualizację oprogramowania,
  2. minimalizowaniu ryzyka utraty informacji w wyniku awarii,
  3. ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
  4. stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
  5. zapewnieniu bezpieczeństwa plików systemowych,
  6. redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
  7. niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
  8. kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa.

Bardzo trudno jest odbudować utracony wizerunek organizacji, a straty w związku z wyciekiem informacji są dużo wyższe, niż koszty działań prewencyjnych, dlatego znacznie  lepiej jest zapobiegać, niż ponosić szkody i kalkulować straty.

  1. Źródło  http://www.eweek.com/c/a/Security/Lost-Stolen-Laptops-Cost-Companies-Billions-in-2010-574365/
  2. Źródło: Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, które  określa sposoby  postępowania  podmiotu  realizującego  zadania  publiczne  w  zakresie  doboru  środków,  metod  i  standardów wykorzystywanych do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i udoskonalania systemu teleinformatycznego wykorzystywanego do realizacji zadań tego podmiotu oraz procedur organizacyjnych, § 20, punkt 2, podpunkt  12.

Nasi Partnerzy:

Wyślij zapytanie - skontaktujemy się!

Imię i nazwisko*:   
E-mail*:   
Pytanie:   

Lub podaj nam swój numer - oddzwonimy!

Telefon*:   
2 dodać dwa (słownie):