Zapewnienie właściwego bezpieczeństwa informacji to obowiązek każdej firmy. Pozwala chronić poufne dane przed nadużyciami, zakłóceniami, zniszczeniem i nieautoryzowanym dostępem. Stanowi również sposób ochrony własnych interesów i zapobiegania stratom finansowym i moralnym. Jakie są zagrożenia dla bezpieczeństwa informacji i jak im zapobiegać?
Jakie są nowe zagrożenia dla bezpieczeństwa informacji?
Do zagrożeń dla bezpieczeństwa informacji należą:
- nielegalne operacje na zasobach informacji,
- zniszczenie oprogramowania,
- uszkodzenie struktury sprzętowej,
- zaburzenia kanałów transmisji,
- zakłócenia funkcjonowania systemu.
W ostatnich latach coraz większy problem stanowią cyberataki. W 2022 roku odnotowano w Polsce ponad 320 tysięcy ataków hakerów, czyli o aż 176% więcej niż w roku poprzednim. Celem cyberprzestępców są przede wszystkim:
- informacje o klientach – dane z kart kredytowych i płatniczych, dane uwierzytelniające i dane z dowodu osobistego,
- informacje konsumenckie,
- dane o własności intelektualnej,
- operacje finansowe firmy.
Nowoczesne metody stosowane w celu zwiększenia bezpieczeństwa informacji
Nowoczesne metody, jakie organizacja powinna stosować w celu zwiększenia bezpieczeństwa informacji, zostały ujęte w ISO 27001. Zaliczają się do nich się przede wszystkim stosowanie zabezpieczeń fizycznych, informatycznych oraz organizacyjnych.
Zabezpieczenia fizyczne
Zabezpieczeniami fizycznymi stosowanymi w celu zwiększenia bezpieczeństwa informacji w firmie są systemy alarmowe, czujniki oraz kamery monitoringu przemysłowego.
Zabezpieczenia informatyczne
Wśród najczęściej stosowanych zabezpieczeń informatycznych można wyróżnić:
- szyfrowanie informacji, czyli proces zapewniający tajność dla osób trzecich, polegający na przekształcaniu informacji w sposób nieczytelny za pomocą funkcji matematycznej i umożliwiający ich odczytanie z użyciem specjalnego klucza;
- zaporę sieciową, która może mieć trzy różne wersje:
- filtrowanie pakietów, które przepuszcza i zatrzymuje określone dane według wskazanych wytycznych,
- ekranowa podsieć, polegająca na stworzeniu sieci prywatnej oddzielonej od innych sieci dwoma routerami,
- dual-home-gateway, pozwalające na filtrowanie przepływającej informacji na poziomie nagłówka pakietu i zawartości jego pola danych;
- VPN, czyli wirtualne sieci prywatne, stanowiące wydzieloną cząstkę ze struktury sieci publicznej,
- podpis elektroniczny,
- kopie bezpieczeństwa,
- systemy operacyjne umożliwiające przyznawanie praw do poszczególnych plików i folderów.
Zabezpieczenia organizacyjne
Zabezpieczenia organizacyjne służą zwiększeniu poziomu bezpieczeństwa całego systemu ochrony danych. Wymagają zaprojektowania i wdrożenia regulaminów oraz procedur pracy i postępowania awaryjnego, a także kształtowania odpowiedzialności osobistej pracowników za ochronę informacji.
W celu zapewnienia bezpieczeństwa informacji w organizacji stosowane są również metody zapobiegające wyciekowi danych na skutek ataków hakerskich. Należą do nich ochrona haseł, regularna aktualizacja systemów operacyjnych i aplikacji, tworzenie kopii zapasowych, zapewnienie aktualności kodu witryny internetowej oraz zabezpieczenie punktów końcowych.
Ochrona haseł
Ochrona haseł wiąże się z:
- koniecznością zmiany ustawionych domyślnie haseł na unikatowe,
- doborem haseł o odpowiedniej sile, a więc będących kombinacją liter małych i wielkich, cyfr oraz symboli,
- koniecznością stosowania różnych haseł dla różnych kont,
- przechowywaniem haseł w odpowiednim miejscu, bez ich zapisywania.
Regularna aktualizacja systemów operacyjnych i aplikacji
Do zapewnienia bezpieczeństwa informacji konieczne jest regularne aktualizowanie systemów operacyjnych i aplikacji, by poprawki zabezpieczeń mogły być instalowane na bieżąco, a także systematyczne kontrolowanie funkcjonowania oprogramowania antywirusowego.
Tworzenie kopii zapasowych
W celu zabezpieczenia firmy przed cyberatakami z użyciem programów typu ransomware konieczne jest tworzenie kopii zapasowych i przechowywanie ich w wyodrębnionych systemach.
Zapewnienie aktualności kodu witryny internetowej
Organizacja musi upewnić się, że kod jej witryny internetowej jest aktualny i wolny od błędów. Nieaktualny lub niewłaściwy kod zwiększa bowiem ryzyko wycieku danych w następstwie cyberataku.
Zabezpieczenie punktów końcowych
W celu zapewnienia bezpieczeństwa informacji konieczne jest również zabezpieczenie przed złośliwym oprogramowaniem wszystkich punktów końcowych, czyli używanych przez pracowników laptopów, tabletów i telefonów komórkowych.
Regulacje prawne dotyczące bezpieczeństwa informacji
Kwestie dotyczące bezpieczeństwa informacji regulują następujące dokumenty prawne:
- Ustawa z dnia 27 lipca 2001 roku o ochronie baz danych,
- Ustawa z dnia 18 września 2001 roku o podpisie elektronicznym,
- Ustawa z dnia 5 sierpni 2010 roku o ochronie informacji niejawnych,
- Ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych.
W wypadku łamania prawa przez osoby używające komputerów i sieci zastosowanie znajdują także przepisy kodeksy karnego.