Cyfrowy bałagan jako cyberzagrożenie dla firm

Nastały czasy, w których nasz bałagan wykroczył poza świat fizyczny i rozprzestrzenił się na komputery i zasoby sieciowe, a nawet na usługi w chmurze. Jakiś czas temu firma przeprowadzająca ankiety przez internet, OnePoll, porównała związek między utrzymywaniem porządku w lodówce a utrzymywaniem ładu w zasobach cyfrowych w pracy. A raczej porównała poziom panującego w nich bałaganu.

Nie wiem, dlaczego wybrali akurat lodówkę — prawdopodobnie dlatego, że jej wnętrze jest niewidoczne tak samo jak bałagan, który znajduje się w cyfrowej przestrzeni — ale raport przeczytałem z dużym zainteresowaniem. Dowiedziałem się z niego na przykład, że ponad jedna trzecia ankietowanych natknęła się w pracy na poufne dane należące do współpracownika. Kolejna jedna trzecia mogła uzyskiwać dostęp do plików należących do poprzedniego pracodawcy. Wnioski te przywołały mi na myśl trzy przypadki z własnego doświadczenia. Doskonale obrazują one zagrożenie związane z cyfrowym bałaganem, dlatego postanowiłem Wam o nich opowiedzieć.

1. Zdalne stanowisko pracy

Kilka lat temu pracowałem dla małej firmy, a jednym z moich zadań było opisywanie nowych wersji oprogramowania firmowego. Ponieważ praca obejmowała powtarzane cykle instalacji i usuwania  danego programu, aby zaoszczędzić miejsce, poprosiłem o maszynę wirtualną. Można ją w łatwy sposób zresetować w celu uzyskania czystego systemu. Korzystanie z maszyny wirtualnej wydaje się również całkiem niezłym środkiem ochronnym — oczywiście o ile jest ona dobrze skonfigurowana.

Moja prośba została spełniona — częściowo. Firma udostępniła mi maszynę wirtualną, ale tylko jedną i to do podziału z całym zespołem. Co gorsze, była ona połączona z siecią firmową; co jakiś czas musieliśmy udostępniać zrzuty ekranu. Jednak to nie był faktyczny problem.

Opuściłem szeregi tej firmy ponad pięć lat temu, a wspomniana maszyna wirtualna nadal w niej działa. Co ciekawe, nadal jest dostępna pod tym samym adresem i umożliwia dostęp użytkownikom z tym samym loginem i hasłem. Mając na uwadze kwestie bezpieczeństwa — niestety wygląda na to, że w większym stopniu niż firmowy dział IT — zalogowałem się. Zobaczyłem pliki, nad którymi ktoś pracował, więc oczywiści niezwłocznie poinformowałem o sytuacji firmę, a swoją poradę wysłałem do udostępnionej drukarki w firmie: „Zmieńcie hasła do maszyny wirtualnej! A przy okazji odizolujcie ją od sieci firmowej!”.

2. Osierocone dokumenty Google

Jakiś czas temu pracowałem jako freelancer dla firmy, która poważnie traktowała temat bezpieczeństwa fizycznego. Aby do niej wejść, musiałem zapowiedzieć się u jednego z pracowników, który zostawiał w recepcji przepustkę z moimi danymi paszportowymi (to najczęstsza forma identyfikatora w Rosji).

W pewnym momencie zastąpiłem swój paszport nowym. Poinformowałem o tym pracownika firmy, a także niezwłocznie zaproponowałem podyktowanie nowych danych, na co usłyszałem „Nie mam na to czasu, zrób to sam” i otrzymałem łącze do dokumentu Google zawierającego listę autorów, daty urodzenia i dane paszportowe. Próbowałem przekazać temu człowiekowi swoje spostrzeżenia, jednak nadal był zbyty zajęty.

Problem w tym, że plik nadal tam jest — dostępny dla każdej osoby, która ma to łącze. Nikt nie może usuwać żadnych informacji, za to każdy może zobaczyć historię edytowania i każdą zmianę dokonaną na pliku. Właściciel konta również nie może nic z tym zrobić, ponieważ zapomniał swojego hasła i zmienił swój adres e-mail.

3. Stary dysk twardy

Lubię gromadzić stary sprzęt komputerowy. Zwykle kupuję go za grosze na targowiskach. Niedawno kupiłem jakieś resztki — sprzedawca twierdził, że należą do sąsiada, który stwierdził, że jeśli nikomu się nie przydadzą, wyrzuci je.

Przeprowadziłem test: uruchomiłem system z dysku twardego, aby sprawdzić, co zawiera. Oprócz prywatnych rzeczy właściciela znalazłem folder o nazwie „praca” zawierający wyniki „oferty cenowe” i „kontrakty” oznaczone jako „poufne”. Najnowsze pochodziły z sierpnia 2018 roku.

Nie wiem, czy poprzedni właściciel używał starego komputera do pracy z domu czy do przechowywania tego archiwum, ale z pewnością nie liczył się z konsekwencjami oddania go osobie obcej. Oczywiście sformatowałem dysk twardy.

Nie udało mi się przeszukać lodówek właścicieli omówionych tu osób i firm, ale sądząc po wspomnianym wcześniej raporcie, z pewnością mógłbym znaleźć w nich coś okropnego — roczną zupę czy skamieniałe paluszki krabowe. A gdy myślę o poufnych danych znajdujących się na porzuconych dawno temu dokumentach Google i dyskach twardych, jak również dawnych pracownikach mających dostęp do firmowych zasobów, mam gęsią skórkę. I niestety ten raport potwierdza te obawy.