Pracownik - potencjalne źródło wypływu informacji z firmy

W czasach kryzysu coraz łatwiej o utratę pracy, a trudniej o znalezienie nowej. By ją zdobyć, może już nie wystarczyć samo posiadanie umiejętności specjalistycznych i organizacyjnych. Aby podnieść swoją wartość na trudnym rynku pracy, niektóre osoby ubiegające się o pracę w nowym miejscu posuwają się do kradzieży wartości intelektualnej dotychczasowemu pracodawcy. Jak się przed tym chronić?

Globalny kryzys ekonomiczny. Któż z nas o nim nie słyszał. W jednych krajach bardziej dotkliwy dla społeczeństwa, w innych mniej. Środki masowego przekazu codziennie przekazują nam kolejną dawkę informacji na jego temat. A to za granicą zarządzający funduszem inwestycyjnym – w którym tysiące ludzi ulokowało oszczędności całego życia – przez lata oszukiwali swoich klientów, a to dobrze prosperujący polski koncern stracił wiele milionów złotych na opcjach walutowych. Jedne zakłady wprowadzają przymusowe przestoje, inne ogłaszają upadłość, jeszcze inne redukują zatrudnienie, aby jak najbardziej ograniczyć koszty prowadzenia działalności gospodarczej i aby dzięki temu przetrzymać trudny okres. Jedni mówią, że bardziej rozwinięte kraje zostały dotknięte przez kryzys silniej niż Polska, inni głoszą, że najgorsze jeszcze przed nami. Wszyscy jednak są zgodni co do tego, że kryzys ma już swoje odzwierciedlenie w statystykach dotyczących rosnącego bezrobocia. Jeszcze kilkanaście miesięcy temu zmiana miejsca pracy była w zasięgu ręki prawie każdego chętnego. Wystarczyło mieć trochę odwagi, przejrzeć ogłoszenia w prasie, internecie, złożyć dokumenty w terminie i udać się na kilka rozmów kwalifikacyjnych. Ci, którzy mieli więcej odwagi, szukali szczęścia poza granicami kraju, ale dziś mało kto decyduje się na taki ruch. Wiele osób wraca, gdyż w Irlandii czy Wielkiej Brytanii coraz trudniej o dobrą pracę. W Polsce również o pracę coraz trudniej. Sama chęć do pracy i zdolności interpersonalne już nie wystarczają. Aby zdobyć pracę, trzeba na tle innych wyróżniać się czymś wyjątkowym. Dla nielojalnych pracowników dodatkowym atutem w staraniach o dobrą posadę mogą być na przykład dane firmy, takie jak lista adresów potencjalnych klientów, plany, gotowe projekty czy też rozwiązania, które inni wypracowują przez całe lata. A w obecnym miejscu pracy te materiały są na wyciągnięcie ręki. Byle tylko udało się je niepostrzeżenie wynieść...

W wielu firmach pojęcie ochrony informacji albo w ogóle nie funkcjonuje, albo ogranicza się do stosowania zabezpieczenia pod postacią umów o zachowaniu poufności informacji ze współpracującymi podmiotami. Zazwyczaj klauzule dotyczące zakazu ujawniania informacji pozyskanych w trakcie współpracy obowiązują nawet wiele lat po zakończeniu współpracy. Każdy z pracowników podmiotu zewnętrznego – mający dostęp do informacji wrażliwych – zobowiązany jest do podpisania odpowiedniego oświadczenia. Za ujawnienie informacji będących przedmiotem kontraktu grożą surowe kary finansowe. Niewiele to jednak pomoże firmie, jeśli na skutek ujawnienia przez pracownika informacji poufnych firma straci reputację, a także zaufanie kontrahentów, co może w konsekwencji doprowadzić do jej upadku.

A w jaki sposób firmy zabezpieczają się przed niekontrolowanym wypływem informacji spowodowanym przez własnych pracowników? Standardem są takie umowy o pracę, w których niewiele jest napisane na temat zachowania poufności informacji. Pracownik jest zobowiązany do nieujawniania informacji stanowiących tajemnicę służbową w okresie, w którym jest związany z pracodawcą umową o pracę. W przypadku ujawnienia takich informacji przez byłego już pracownika po zakończeniu okresu zatrudnienia jego były pracodawca może wystąpić przeciw niemu na drogę sądową z powództwa cywilnego, ale jest to skomplikowany i długotrwały proces. Poszkodowany – w tym wypadku były pracodawca – musi udowodnić, że jego były pracownik dopuścił się kradzieży wartości intelektualnej. Będzie mógł tego dokonać jedynie wtedy, jeśli wcześniej przedsięwziął odpowiednie kroki, w przeciwnym razie taki proces może okazać się stratą czasu i pieniędzy.

Należy wcześniej podjąć działania zaradcze, aby być „mądrzejszym przed szkodą” i skutecznie zadbać o bezpieczeństwo informacji wewnątrz organizacji. Tak jak w przypadku wirusów komputerowych, tak i tutaj nie ma niestety recepty na stuprocentowe zabezpieczenie się przed nieuprawnionym wyniesieniem informacji przez pracowników. Konieczne jest jednak wdrożenie pewnych zabezpieczeń prowadzących do zminimalizowania niebezpieczeństwa wystąpienia tego typu zagrożeń, ponieważ najczęściej wynikają one z celowego działania pracownika, a nie z jego niewiedzy bądź przypadku.

Odpowiednia dbałość o bezpieczeństwo informacji powinna być zachowana w całym okresie życia informacji: od jej powstania aż do jej trwałego zniszczenia.

Warto więc pamiętać o kilku zasadach zabezpieczania informacji, w szczególności tej przetwarzanej elektronicznie.

1. Uporządkowanie gospodarki sprzętowej. Podstawowe czynności w tym zakresie to inwentaryzacja stacji roboczych i laptopów oraz jednoznaczne przypisanie ich do poszczególnych użytkowników. Aby chronić informację przechowywaną w postaci elektronicznej, najpierw musimy wiedzieć, gdzie jest ona zgromadzona i kto ma do niej dostęp. Laptop „widmo”, czyli urządzenie nie przypisane do żadnego użytkownika, może stać się furtką do niekontrolowanego wypływu informacji. Za takie urządzenie żaden z pracowników nie czuje się odpowiedzialny, a co za tym idzie, nikt nie jest zobowiązany do odpowiedniej ochrony ani tego laptopa, ani zgromadzonych na nim danych.
2. Ograniczenie możliwości niekontrolowanego wyjmowania dysków twardych z komputerów służbowych. Prostym, a zarazem bardzo skutecznym sposobem na ograniczenie niekontrolowanego wypływu informacji jest umieszczenie plomb na obudowach urządzeń w taki sposób, aby wyjęcie dysków twardych było niemożliwe lub aby przeprowadzenie takiego działania nie pozostało bez śladu, tj. zniszczenia plomby.
3. Zablokowanie możliwości kopiowania danych na nośniki zewnętrzne. Nie chodzi tu wyłącznie o nagrywarki dysków CD/DVD, ale przede wszystkim o zablokowanie możliwości kopiowania danych na pamięci masowe podłączane do portów USB (z racji ich ogromnej dostępności). Samo zablokowanie portów jednak nie wystarczy. Przeprowadzenie takich działań wiąże się z koniecznością wdrożenia odpowiedniej polityki bezpieczeństwa, polegającej na oddzieleniu funkcji administratora i użytkownika stacji, tak aby ten ostatni nie miał uprawnień do samodzielnej zmiany konfiguracji systemowej swojego komputera. Zablokowanie portów USB może okazać się stosunkowo trudne do wykonania i to nie ze względu na problemy techniczne, ale z powodu ich wszechstronnego zastosowania, ponieważ ten interfejs komunikacyjny jest coraz częściej wykorzystywany przez drukarki, klawiatury, myszy i inne urządzenia peryferyjne.
4. Uzupełnienie rozwiązań organizacyjno-sprzętowych specjalistycznymi narzędziami systemowymi. Dzięki ich funkcjom (w zależności od zastosowanych rozwiązań) możliwe jest:
   zarządzanie uprawnieniami dostępu do poszczególnych dokumentów (możliwość odczytu, modyfikacji, kopiowania, drukowania),
   
   • kontrolowanie przepływu dokumentacji elektronicznej wewnątrz firmy (ang. workfl ow),
   • gromadzenie informacji o działaniach użytkownika, w szczególności w zakresie kopiowania na nośniki zewnętrzne chronionych danych, przesyłania ich poza firmę po sieci Ethernet, Wi-Fi czy też za pośrednictwem Bluetooth,
   • blokowanie na komputerach służbowych możliwości korzystania z serwerów poczty prywatnej, w tym portali społecznościowych umożliwiających przesyłanie plików pomiędzy użytkownikami,
   • blokowanie komunikatorów internetowych,
   • blokowanie programów wykorzystujących połączenia P2P (peer-to-peer) umożliwiające przesyłanie danych pomiędzy użytkownikami.
   Dla wielu użytkowników działania tego typu mogą wydawać się przesadne i zbyt drastyczne. Ze statystyk jednak wynika, że najczęściej do wypływu z wnętrza firmy informacji chronionych dochodzi właśnie z powodu niestosowania przedstawionych tu propozycji zabezpieczeń.
5. Skuteczne niszczenie danych zgromadzonych w urządzeniach wycofywanych z użytku. Wiele firm decyduje się na odsprzedaż lub bezkosztowe przekazanie wycofywanego sprzętu komputerowego własnym pracownikom. Warto jednak wcześniej zniszczyć w sposób nieodwracalny umieszczone na dyskach twardych dane, by wyeliminować możliwość późniejszego ich odtworzenia. Do tego celu można wykorzystać nawet darmowe oprogramowanie dostępne w sieci Internet.
6. Prowadzenie skutecznego rozliczania z dokumentów i urządzeń pracownika, z którym rozwiązywana jest umowa o pracę. W praktyce jest to jednak trudne do osiągnięcia, gdyż pracodawca zobowiązany jest do terminowego przekazania świadectwa pracy pracownikowi, z którym wygasa umowa o pracę, nawet w przypadku, gdy ten nie dopełnił wszystkich formalności związanych m.in. z wypełnieniem karty obiegowej.

Jedną z najważniejszych, najskuteczniejszych i zarazem najprzyjemniejszych metod, chroniących przed celowym wyniesieniem informacji przez pracownika, jest dbałość o dobrą atmosferę w miejscu pracy. Osoby żegnające się z firmą z powodu redukcji zatrudnienia czy też na własne życzenie i mające w pamięci tylko dobre wspomnienia z nią związane, będą nadal czuły się wobec niej lojalne i nie zdecydują się na „zrobienie jej krzywdy” poprzez kradzież informacji chronionych. Wszystko zatem w Waszych rękach, Pracodawcy!

Krzysztof Białek

Zabezpieczenia 3/2009