Polityka bezpieczeństwa informacji i fizykakontra gwiezdne wojny cz. 2

Całkiem niedawno miałem do czynienia z kilkoma, a dokładniej mówiąc dwoma zjawiskami, które potwierdzają moją, być może nawet mocno subiektywną teorie.

Pierwsze z nich dotyczy kwestii uświadamiania pracowników co do zagrożeń niesionych za pośrednictwem wirusów. W odpowiedzi na zalecenie można przeczytać, iż poziom zabezpieczeń i obowiązujące procedury właściwie wykluczają konieczność prowadzenia wewnętrznych szkoleń z tej materii, czyli konieczność uświadamiania pracowników. Nie trzeba było długo czekać, a w sieci dało się przeczytać, że hakerzy podrzucili kilku bankom wirusy. Ktoś może powiedzieć, że widocznie te banki były słabo zabezpieczone. Może być to prawdą, choć trudno w to uwierzyć, bo dotyczy to wiodących, a więc i dostatecznie bogatych jednostek, których infrastruktura
z pewnością nie przypomina domowej sieci, często funkcjonującej w trybie prowizorki. Uświadamianie natomiast, to jeden z lepszych sposobów na ograniczanie potencjalnego wystąpienia zagrożeń i szczerze mówiąc chyba jedno z najtańszych,
a często mocno skutecznych.

Innym zagadnieniem, z którym przyznam się miałem dość sporo kłopotów, była kwestia weryfikacji, że tak powiem – praworządności kandydata do pracy. Dyskusja oparła się
o to, że prawo z jednej strony zabrania gromadzenia danych wrażliwych bez zgody zainteresowanego, a z drugiej o dobre praktyki w tym zakresie. Do tego w dyskusji poruszono jeszcze dwa elementy jako przeciwstawne – możliwość weryfikacji danej osoby, pod kątem niekaralności oraz prawo do rehabilitacji osoby, która gdzieś tam
w życiu zbłądziła ale swój błąd zrozumiała i chce być dobrym obywatelem. Prawda,
w tym drugim zestawie trudno o udzielenie jednoznacznej odpowiedzi. Jednak co pomyślałby sobie każdy z nas jako klient np. banku, który zatrudnia Ala Capone lub jego krewnych. No właśnie… Ale zostawmy kwestie etyczno-moralne i rzućmy okiem na otaczającą nas namacalną rzeczywistość.

Spotkałem się z rozwiązaniem, które ogranicza się do tego, że instytucje, w których swego czasu zaświadczenia o niekaralności stanowiły podstawę zatrudnienia, ograniczyły swoje działania do wymogu przedłożenia takiego dokumentu przez pracownika i odnotowania faktu przez kadry o zapoznaniu się z jego treścią. Super, zachowanie informacji w postaci jawnej też oznacza przechowywanie tych informacji ale ktoś może powiedzieć, że to naciągana teoria, wiec rzućmy okiem na inne faktycznie zdarzenie. Otóż, do Polskiego Towarzystwa Kryminalistycznego, zgłosiła się klientka, takiej fałszywej drukarni dokumentów i wylegitymowała się dyplomem wyższej uczelni – prawda, że brzmi jak opowieść rodem z literatury przedziwnej? No to proszę teraz wykorzystać wyobraźnię i pomyśleć, że ktoś przedstawia nam dokument
o niekaralność, my piszemy, że i owszem i o.k. a tu psikus, bo taki dokument po prostu nie istnieje.

Przykłady zagrożeń można wręcz mnożyć. Co więcej, gdyby zebrać tylko opowieści
o awariach wynikających ze zbagatelizowania tematu, to wyszłoby dzieło godne co najmniej Kafki, choć do rywalizacji ze znanym nam wszystkim „Procesem” bardziej nadaje się rzeczywistość ustawodawcza, tu dopiero można poszaleć, zwłaszcza
w zakresie ochrony danych. Ostatnio bowiem znowu zadając trudne pytanie wprawiliśmy w zadumę Pana Urzędnika ale póki co czekamy na rozwiązanie zagadki,
a jak już to nastąpi z pewnością podzielimy się wiedzą.

Jacek Rembikowski