RSS
| Marketing nebo průmyslová špionáž? - seriál o informační bezpečnosti ze všech úhlů |
 |
 |
 |
|
Autor: RNDr. Helena Křepelková, CSc., externí redaktorka ICTsecurity, auditor a manager bezpečnosti informací dle ČSN ISO /IEC 27001 Žijeme v informační společnosti a bez každodenní dávky zpráv a informací z nejrůznějších veřejných, komerčních i ryze soukromých zdrojů máme pocit, že něco není v pořádku, něco nám chybí, nebo uniká. Ve školách i vzdělávacích agenturách absolvují tisíce studentů ročně kurzy o tom, jak získávat a zpracovávat marketingové informace pro úspěšné podnikání, odolání konkurenci, využití obchodních příležitostí, získání informací o potenciálním zákazníkovi nebo levném dostupném zdroji materiálu nebo peněz. Nejvíce ceněné jsou informace strategické – jsou to nejhodnotnější aktiva toho, kdo je vlastní. Dříve jsme četli v knihách a dnes sledujeme v televizi napínavé příběhy o tom, jak „agenti“ (dříve to bývali „špióni“) unášejí geniální vědce, získávají unikátní poklady a strategické informace a aby je získali, podstupují adrenalinové situace, ze kterých se pak hravě a s šarmem agenta 007 dostávají. Z hromadných sdělovacích prostředků se občas dozvíme o porušení zákonů ve smyslu zneužití informací v obchodním styku, záhadným způsobem (nejlépe neznámým pachatelem) umožněnému nelegálnímu přístupu k důvěrným informacím, úniku informací z různých státních i jiných střežených zdrojů, nalezení důvěrných osobních dat v paměti PC na bleším trhu nebo v pytli na smetišti na okraji města. Nebo „prozíravé koupě“ bezcenných pozemků státním úředníkem, které se změnou územního plánu stanou TOP-realitami s pohádkovými cenami. A tušíme, že tyto více či méně pravdivé a často i skandalizující pořady o špatném způsobu nakládání s informacemi jsou pouhými střípky, drobnými krystalky ledu ve srovnání s ledovcem, který je před námi ukrytý za zdmi, ploty, závorami a trezorovými komorami, který je střežený elektronickými zabezpečovacími systémy, kamerami a strážními službami uniformovanými i šedě a nenápadně civilními. Co je v těch příbězích pravda a co je umělecká fikce spisovatelů a investigativních novinářů? Tyto otázky si určitě občas položí každý člověk, který ve svém profesním zaměření zastává odpovědnou pracovní funkci a řeší problémy, o kterých nemá s nepovolanými osobami mluvit. Odpověď není ani lehká, ani jednoznačná. Na jednoduchém příkladu si ukážeme, jak je těžké definovat rozdíl, který by komerční, strategický marketing odlišil od špionáže. Lidé i sdělovací prostředky jsou zvyklé nazývat špionáží to, co se týká informací ve vztahu ke státním zájmům. V případě komerčních organizací se obvykle hovoří o zneužití informací v obchodním styku, vytunelování know-how nějaké firmy a podobně. Jde však v podstatě o totéž, pouze vlastník a cílená informační aktiva jsou rozdílná. A pokud se omezíme na technický rozvoj, ekonomiku nebo chování nadnárodních globálně působících společností, pak zde se smazávají i poslední rozdíly. Stát může pro svoje účely zlegalizovat použití technických prostředků pro napadání cizích informačních systémů (například odposlech), zatímco pro komerční zjišťování strategických informací je tato technika zakázána, takže marketingový specialista musí hledat jiné, legální prostředky. Ale tato technika je dostupná a nedělejme si iluze, že není v mnoha případech i používána. Na čem by vydělávaly organizace, nabízející otevřeně na internetu takovou techniku a služby? IT usnadnila ohromným způsobem práci jak strategickému marketingu, tak oné tajemné činnosti „agentů“. Mohutné informační systémy, pracující na bázi bezdrátového přenosu signálu, umožní těmto lidem pracovat z domu. Nemusí opustit svoji pracovnu a pokud mají dostatečnou praxi ve vyhledávání potřebných informací, umí posoudit důvěryhodnost jejich zdrojů a najít způsob ověření pravdivosti, případně najít zdroj doplňující informace, mají velkou část sběru informací v ruce. I velmi důležité informace se objevují na veřejných stránkách a nebo jsou přenášeny bez šifrování na nechráněných sítích. Další otázkou je jejich třídění, analýza a prvotní závěry. Zde asi můžeme hovořit o úplně stejné práci marketingového specialisty, investigativního novináře i „agenta“. Jakmile vkročí tito lidé do terénu, zase mají mnoho společného v legální činnosti. Marketingový specialista použije „mystery shopping“ (fiktivní nákup), aby pomocí najaté osoby, vydávající se za kupujícího, prověřil poctivost a loajálnost obchodního partnera. Investigativní novinář požádá přítelkyni, aby se na úřadě zajímala o pozemek, protože má podezření, že se tam na úřadě děje s pozemky něco nekalého. A onen „agent“ si půjčí cizí identitu a zajímá se o spolupráci s výzkumným centrem, kde se podle informací z předchozí fáze zjišťování mohou nacházet informační aktiva, která mají vysokou hodnotu pro jeho zaměstnavatele (a pochopitelně i firmu, která je vlastní). Pozor, totéž může dostat za úkol i vedoucí strategického marketingu konkurenční high-tech firmy, soupeřící o státní zakázky! VŠICHNI TŘI POUŽILI SOCIÁLNÍ INŽENÝRING. Kdo z nich jednal legálně a kdo nikoliv? Kdo může být stíhán a kdo nikoliv? A vlastně za co a kdo by to mohl posoudit? Zkušenost říká, že když to zjistí obchodní partner, tak se naštve a přestane obchodovat. Když to zjistí úřad, dá si na onu přítelkyni v budoucnu pozor a novináře nebude zvát na tiskové konference, případně podá trestní oznámení na neznámého pachatele. Když to zjistí ono významné centrum výzkumu, tak vyhodí ředitele pro bezpečnost informací a za mnoho milionů nějaké vhodné měny zahájí obdobnou odvetnou akci. A pokud byl oním provinilým a odhaleným „agentem“ zrovna „agent státní“, je z toho na veřejnosti nanejvýš parlamentní komise nebo perfektní téma pro volební kampaň. V tichosti může dojít k nějakému odškodnění onoho významného centra, podle toho, jak významné je a kdo je jeho vlastníkem. Takže aniž by nastala nějaká atraktivní adrenalinová situace, případně použití zakázaných technických prostředků, odposlechů, hackerů, bourání firewallů a překonání EZS a kamerových systémů, vloupání nebo krádeží nosičů s důvěrnými daty, vydírání, vyhrožování, manipulování, podplácení a podobným aktivitám, které vidíme na obrazovkách nebo v kinech, všichni tři profesní reprezentanti jsou buď odhaleni, nebo dostali to, co potřebovali a pracují spokojeně dál. Velmi často není ani třeba použít při získávání informací sociální inženýring. Lidé i na vysokých pozicích úředních a komerčních nemají povědomí o ochraně informací a organizace jdou obvykle cestou od jednoho extrému ke druhému: mizivá ochrana a doslova dům otevřených dveří-nebo paranoidní přehnaná opatření, která nakonec mají opačný účinek. Takže pokud se osoba s přiměřenou kvalifikací, ať je to marketingový specialista, investigativní novinář nebo „agent“, seznámí s určitým oborem a začne se v něm NAPROSTO LEGÁLNĚ POHYBOVAT, má šanci většinu informací získat naprosto legálním způsobem. Stačí, aby měl zkušenosti s prací s informacemi, měl dobře definovaná cílená informační aktiva, přirozené a dál rozvíjené systémové analytické myšlení se schopností nakonec provést syntézu, čas a prostředky potřebné k práci. Na tomto příkladu jsme si předvedli, že vlastně nelze přesně definovat hranici mezi špionáží a komerčním strategickým marketingem. I jedno zdánlivě přesné a měřitelné kritérium, legální versus nelegální prostředky, není dostatečné. Záleží na tom, o jaká informační aktiva jde, v zájmu koho a čeho sběr informací spočívá, kdo má nebo nemá zájem na jejich použití nebo zneužití. A jak se bránit tomu, aby se osoba nebo organizace nestala předmětem zájmu strategického marketingu, investigativních novinářů nebo „agentů", případně nebyla nařčena, že je podporuje a spolupracuje s nimi? - Nevlastnit informační aktiva, o které by mohl být zájem (to není často možné). - Budovat povědomí zaměstnanců a kulturu chování v organizaci, která sama částečně potlačuje zveřejňování informací, které by mohly vzbudit zájem. (To také často není možné, ale je to omezitelné.) - Připustit, jaké prostředky může použít v dnešní době ten, kdo by měl o hodnotná aktiva zájem a počítat s tím, že je použije. (To je proveditelné.) - Vybudovat systém bezpečnosti informací na klasických nosičích i uložených v na elektronických nosičích v IS, tento systém udržovat a rozvíjet v souladu s charakterem organizace, typem chráněných informačních aktiv a technickým rozvojem v oblasti IT. (To je proveditelné.) - Uvědomit si, že 90 % všech incidentů v oblasti bezpečnosti informací způsobí lidský faktor a v důsledku toho věnovat personální složce bezpečnosti informací zvýšenou pozornost. (To je proveditelné.) Věřím, že tato malá exkurze do strategického marketingu a souvisejících oborů byla alespoň trošku zajímavá. Další témata uplatnění systému bezpečnosti informací budeme diskutovat další měsíce. |
