Interná kriminalita vo firmách – mýtus alebo realita
Pridané: 1.4.2020 14:00:32 Počet zobrazení: 1883
01 Apríl 2020
Téma internej kriminality vo firme je realita či mýtus? V rámci manažérskeho vzdelávania sa vedú časté diskusie o legendách využívania prostriedkov IKT zamestnancami. Kde je hranica medzi tolerovaným využívaním aktív zamestnávateľa na súkromné účely? Dá sa vôbec daný jav korigovať? Že častým dôvodom je len neznalosť používateľov?
Rizikovosť zamestnancov pri prevádzkovaní informačných systémov je už roky diskutovanou a analyzovanou témou medzi personalistami a bezpečnostnými manažérmi. Kde je hranica medzi dôverou a zdravým úsudkom, kde sa z lojálneho zamestnanca stáva potenciálne nebezpečný objekt? Aké môže mať reálne dopady jeho správanie a konanie v digitálnom priestore? Je riešením absolútne paranoidná politika alebo je lepšie voliť istú úroveň benevolencie?
Mnohoročná prax a rad rôzne orientovaných prieskumov preukázali niekoľko typických kategórií rizikovosti, ktoré je možné zoradiť podľa početnosti do rebríčka – ten ale nevykresľuje výšku škody spôsobenej zamestnávateľovi.
Surfovanie v pracovnom čase/download alias FB, ICQ,Skype či iné radosti pracovného dňa
Názory na benevolenciu v prístupe k internetu zo strany zamestnancov sa rôznia. Zakazovať alebo bez akejkoľvek kontroly umožniť bezbariérový prístup k akémukoľvek obsahu? Určite je možné viesť diskusiu o zdravej hranici akceptovateľnej a prínosnej pre obe strany. Odborníci na psychohygienu sa dnes zhodujú v názore, že istá hranica benevolencie zo strany zamestnávateľa má pozitívne účinky. Je však nutné akceptovať skutočnosť, že surfovanie po sociálnych sieťach či iné formy digitálnej komunikácie nepatria do pracovnej náplne podstatnej väčšiny profesií a teda tu už môžeme uvažovať o porušovaní pracovnej disciplíny v zmysle Zákonníka práce.
Download dát nemusí byť len nevinnou zábavkou
Ťažko nájdete aktívneho používateľa internetu, ktorý si aspoň raz za čas nestiahne nejakú mp3-ku či video alebo filmík. Je to fenomén, ktorý síce nie je úplne korektný ale zabrániť mu je takmer nemožné (názor autora). Download dát vo firemnom prostredí má však niekoľko vážnych úskalí, priblížme ich na niekoľkých skutočných reálnych príkladoch:
- využívanie rapidshare stránok pre sťahovanie rôznych typov dát (rovnako aj pre upload) dát, ktoré veľmi často porušujú autorské práva (nelegálne kópie filmov, softvérových balíkov a podobne)
- inštalácia torrent klientov na pracovných počítačoch a ich využívanie na zdieľanie dát podobne ako je to uvedené vyššie de facto zapojenie počítača/ov zamestnávateľa do siete umožňujúcej šírenie ľubovoľného druhu dát
- download/upload/zdieľanie dát, ktorých obsahová stránka odporuje morálnym spoločenským normám alebo patrí do kategórie protiprávneho obsahuje (najrozšírenejším z tejto kategórie je detská pornografia)
Bežný používateľ firemného IT si však takéto riziká často ani neuvedomuje a skutočný rozmer problému pochopí až keď sú mu vysvetlené základné princípy napríklad na schéme fungovania torrent klienta.
Absolútnou perličkou tejto kategórie je využívanie sťahovaných dát na osobné „podnikateľské" aktivity, kedy zamestnanec rozbehne na aktívach zamestnávateľa „beznákladové" podnikanie - dáta nie len sťahuje, ale ich za odplatu poskytuje ďalším – napaľuje ich na DVD, sprostredkuje ich cez rôzne úložiská a podobne.
Surfovanie versus diskusné fóra
Účasť v rôznych diskusných fórach je tiež jedným z pomerne častých trecích plôch medzi zamestnávateľmi a zamestnancami. Zapájanie do diskusných skupín v pracovnej dobe má jedno malé úskalie spočívajúce v tom, že zamestnanci často vystupujú v týchto pod služobným e-mailovým kontom. Je názor napísaný v diskusii súkromným názorom alebo vyvstáva riziko, že čitatelia diskusie ho budú vnímať ako oficiálny názor zamestnávateľa?
Zákonník práce
.Príklady závažných porušení pracovnej disciplíny:
- využívanie aktív zamestnávateľa na súkromné účely
- výkon práce pre seba a iné osoby v pracovnom čase
- používanie internetu v práci na súkromné účely
- majetkové a morálne delikty na pracovisku
- nerešpektovanie príkazov nadriadených
- vnútorné intrigy – urážky, cielené poškodzovanie obchodného mena spoločnosti alebo obchodných partnerov
Tlač nepracovných dát
Pomerne radikálny i keď v dnešnej dobe technologicky pomerne jednoducho ošetriteľný problém mnohých zamestnávateľov najmä z kategórie stredných a malých firiem. Ak si dnes uvedomíme nelogickú tendenciu väčšiny používateľov mať všetko zaujímavé aj vytlačené, vezmeme v úvahy objemy tlačených prác pri externých formách štúdia a prepočítame to reálnymi cenami papiera, spotrebného materiálu a prevádzkových nákladov tlačiarní, dostaneme celkom zaujímavé čísla. Pritom si je nutné uvedomiť, že sú to náklady, ktoré nie sú vynaložené v súvislosti so zabezpečením chodu firmy a dosahovaním zisku ateda pre zamestnávateľa je to čistá strata. Perličkou z praxe bol prípad zamestnanca, ktorý si na technike svojho zamestnávateľa „rozbehol" komerčnú tlač diplomových a bakalárskych prác.
Interná kriminalita alias trestná činnosť
Najmenej početnou skupinou, ale pritom s najvyššími ekonomickými dopadmi je cielené konanie zamestnanca kedy jeho konanie je zámerné a sleduje niektorý z cieľov ako:
- zámerné poškodenie záujmov alebo práv zamestnávateľa
- privodenie prospechu alebo neoprávnenej výhody sebe
- privodenie prospechu alebo neoprávnenej výhody (napríklad konkurenčnej) inému
Takéto konanie už môže nadobúdať charakter trestnej činnosti.
Z praktického života je možné potvrdiť, že pravdepodobnosť útoku z vnútorného prostredia na aktíva zamestnávateľa je 3x vyššia než pravdepodobnosť útoku zvonka.
Výskumy a prax za posledné roky poukazujú, že zamestnanci prichádzajúci do styku s informačným systémom a majúci privilegovaný prístup k dátam majú tendenciu „vynášať" a zhromažďovať údaje pri prvých informáciách o personálnych zmenách vo firme. Odborníci z bezpečnostnej praxe sa väčšinovo zhodujú, že sa jedná o prvok akéhosi zvyšovania budúcej hodnoty na trhu práce a zlepšenia možností rýchlo si nájsť novú prácu pri prípadnej strate terajšieho zamestnania. U značného počtu pracovných pozícií
Nemôžu si tak trochu za tento stav zamestnávatelia aj sami?
Len niekoľko typických nedostatkov z kategórie malých a stredných firiem z ktorých je odpoveď na predošlú otázku takmer jasná.
- väčšina vnútrofiremných používateľov má prístup k dátam ku ktorým by z hľadiska ich pracovného zaradenia a kompetencií nemali mať prístup
- organizácie nemajú zmapované kde vo firemnej sieti sú ukladané aké dáta. akého významu – často sú strategicky dôležité údaje ukladané duplicitne na rôznych miestach bez minimálnej úrovne zabezpečenia
- v malých a často aj v stredných firmách je typickým javom, že štandardní používatelia disponujú administrátorskými oprávneniami
- nie je vybudovaný žiadny vnútrofiremný systém spätnej väzby t.j. monitorovania dodržiavania interných noriem a vyhodnocovanie monitoringu s dopadom na aktualizáciu opatrení
- neexistuje systém cieleného a cyklického vzdelávania – sú vykonávané len nutné preškolenie zamestnancov v minimálnom rozsahu – obvykle požadované zmenou legislatívy
Aké nástroje má manažér k dispozícii minimalizáciu uvedených rizík?
V prvom rade je potrebné vziať do úvahy úplne základnú myšlienku – bez zvyšovania bezpečnostného povedomia zamestnancov to jednoducho nepôjde. Zamestnanci využívajúci informačné technologie pre výkon svojich pracovných povinností na úrovni bežného používateľa nedisponujú odpovedajúcimi poznatkami pre zorientovanie sa v problematike a ťažko hľadať dôvody, ktoré by ich viedli k samostatnému zvyšovaniu znalostí v tejto oblasti. Zaužívanú metódu intiutívnych a vzájomne odovzdávaných parciálnych myšlienok by som nepovažoval za spoľahlivú a najmä nie účinnú formu zvyšovania bezpečnostného povedomia.
O možnostiach, ktoré prinášajú technické riešenia (DLP) si napíšeme niekedy v budúcich blogoch
Jaroslav Oster