Nieopublikowany artykuł z stycznia 2005 roku.

Piotr Pachowicz

Człowiek najsłabszym ogniwem łańcucha ochrony danych[1]

Do napisania niniejszego artykułu inspiracją była rozmowa z Panem Profesorem F. Krzykałą, której części artykuł jest de facto zapisem.

 

Każda organizacja, bez względu na rodzaj prowadzonej działalności, ma swoje tajemnice. Powoduje to częste kojarzenie ich z agencjami wywiadowczymi. Sporo tajemnic mają także przedsiębiorstwa. Mogą to być na przykład plany wprowadzenia nowego produktu, szczegóły zamiarów ekspansji na nowych rynkach, negocjacje handlowe objęte tajemnicą lub plany przejęcia innego przedsiębiorstwa.

Utrzymywanie informacji czy faktów w tajemnicy ma na celu tworzenie przewagi własnego przedsiębiorstwa, a także utrudnianie oraz uniemożliwianie  zdobycia przewagi przedsiębiorstwu konkurencyjnemu. Często ukrywa się niektóre informacje przed podmiotami współpracującymi[2] dla wzmocnienia własnej pozycji podczas negocjacji umów o współpracy, jak również dla uzyskania korzystniejszych warunków tych umów. Nie zawsze ma to wydźwięk pozytywny, jak choćby w przypadku ukrywania złej sytuacji finansowej przed dostawcami, zatajania i zniekształcania informacji dostarczanych bankowi finansującemu. Z drugiej strony przedsiębiorstwo będące pośrednikiem w handlu będzie skrzętnie ukrywało informacje dotyczące źródeł i sposobów pozyskania towarów, którymi obraca.

Przyczyny i cele ustanawiania tajemnic przedsiębiorstwa mogą być niezliczone, lecz jedno jest pewne: główną i permanentną cechą tajemnic jest konieczność stałej ich ochrony oraz weryfikacja skuteczności środków podejmowanych dla pewności tej ochrony.

1. Systemy informatyczne – największy zasobnik tajemnic nowoczesnego przedsiębiorstwa

Nowoczesne przedsiębiorstwo, chcąc utrzymać się na rynku wśród licznej konkurencji staje przed koniecznością stosowania środków zwiększających skuteczność działania. Jednym z takich środków są systemy informatyczne.

System informatyczny pojmowany jako zespół środków sprzętowych i programowych[3] może służyć przedsiębiorstwu do gromadzenia, przechowywania oraz przetwarzania informacji związanych z prowadzoną przez nie działalnością. Mogą to być dane gromadzone i przetwarzane przez system finansowo-księgowy, dane zgromadzone w bazie obejmującej potencjalnych, obecnych i byłych klientów, informacje dotyczące poszczególnych pracowników własnego przedsiębiorstwa, ale także pracowników zatrudnianych przez kontrahentów.

W systemie informatycznym gromadzona jest korespondencja elektroniczna, której treść może również zawierać wiele danych objętych tajemnicą przedsiębiorstwa[4]. Podmioty zajmujące się produkcją często przechowują oraz przetwarzają w systemach informatycznych wiele danych związanych z projektami nowych wyrobów, przedsiębiorstwa handlowe tworzą i przechowują w komputerach strategie i plany ekspansji.

Przykładów tajemnic przedsiębiorstw jest wiele, ale jedno pozostaje niezmienne: ich ujawnienie zawsze ma niekorzystny wpływ na sytuację ich właściciela, a w krańcowym przypadku może doprowadzić do zaprzestania wykonywania działalności przez przedsiębiorstwo. Na przykład wskutek przejęcia projektu wyrobu przez konkurencję, bądź z powodu wysokiego odszkodowania zasądzonego na rzecz podmiotu pokrzywdzonego w wyniku ujawnienia tajemnicy, przedsiębiorstwo może utracić środki niezbędne do utrzymania się na rynku. Utrata zaufania spowodowana ujawnieniem tajemnic powierzonych przez kontrahenta, może wywołać masowy odpływ innych podmiotów z obawy o ujawnienie swoich poufnych danych.

Rozwój techniki spowodował łatwość gromadzenia danych i przechowywania zapisywanych nimi nośników. Pojemność tychże nośników oraz możliwość szybkiej transmisji na wielkie odległości w czasie liczonym w minutach, a także szybkość przetwarzania danych powodują, że gromadzenie informacji w systemach komputerowych staje się tak codzienną i częstą praktyką, jak niegdyś[5] mnożenie liczby segregatorów gromadzonych na dziesiątkach regałów.

Systemy informatyczne pozwalają gromadzić na niezwykle małej przestrzeni więcej danych niż kiedykolwiek przedtem. Na płycie standardu CD można umieścić treść kilkuset książek. Standard DVD pozwala na przechowanie ich kilkakrotnie większej liczby[6], a najnowszy standard optycznych nośników danych o pojemności kilkaset razy[7] większej od standardu DVD zyskuje coraz większą popularność.

Dochodzące już do setek gigabajtów pojemności nośników danych oraz możliwości przesyłu informacji za pośrednictwem sieci Internet[8] powodują, iż problem ochrony tajemnic przedsiębiorstwa staje się jeszcze poważniejszy. Użytkownik komputera, nawet o średnim stopniu zaawansowania, może wykonać kopię danych zgromadzonych na serwerze firmowym w ciągu kilkunastu minut, a następnie może te dane w spokoju, na przykład domowego zacisza, analizować dokonując ich selekcji według kryterium przydatności do określonego celu. Upowszechnienie się szybkiego dostępu do sieci Internet powoduje, że dane są jeszcze bardziej zagrożone lub narażone na to, że w ich posiadanie wejdzie osoba nieuprawniona. Są dwie drogi uzyskania nieuprawnionego dostępu do gromadzonych w systemach informatycznych danych, które przedsiębiorstwo lub inna organizacja uzna za tajemnice. Pierwszą z nich jest przesłanie danych do osoby niepowołanej, drugą jest uzyskanie dostępu do danych, na przykład za pośrednictwem Sieci.

2. Przedsiębiorstwo zabezpiecza swoje dane przed nieuprawnionym dostępem

Bezpieczeństwo danych zależy od wielu czynników i wielu uwarunkowań. Jednak analizując problem z punktu widzenia oceny racjonalności postępowania można dojść do ważnego wniosku: zarząd musi być świadomy wagi problemu, a przy tym musi z determinacją podejmować i wspierać działania mające na celu jak najpełniejsze zabezpieczenie danych przed nieuprawnionym dostępem do danych oraz ich utratą[9]. Za świadomością zarządu oraz podległej mu kadry powinny iść w dalszej kolejności działania i środki podejmowane dla zabezpieczenia danych. Planowaniem oraz wdrażaniem tych działań i środków zajmują się wyspecjalizowane służby przedsiębiorstwa lub podmioty zewnętrzne specjalizujące się w zabezpieczaniu systemów informatycznych wraz z gromadzonymi w nich danymi.

Zabezpieczenia mogą obejmować środki programowe i sprzętowe oraz środki ochrony fizycznej (ochroniarze, systemy alarmowe itp.) zapobiegające nieuprawnionemu dostępowi do danych za pośrednictwem sieci Internet, jak również chroniące dane przed takim dostępem w przypadku wtargnięcia osoby niepowołanej do pomieszczeń przedsiębiorstwa[10]. W przypadku wtargnięcia do pomieszczeń w sposób niezauważony dla ochrony i/lub pracowników, najprostszymi środkami ochrony danych mogą być odpowiednio zabezpieczone przed włamaniem pomieszczenia, w których znajdują się urządzenia zawierające nośniki z zapisanymi danymi, a także konieczność logowania się do systemów operacyjnych komputerów sieci lokalnej z podaniem login’u i hasła, godziny dostępu do określonych plików i ich grup ustalone przez system kontrolujący pracę serwera. Można również stosować zabezpieczenia przy pomocy kart magnetycznych, których właściciel dzięki umieszczonymi na nich zapisowi uzyskuje dostęp do określonej części systemu. Istnieje także wiele innych zabezpieczeń, na których wymienienie i omówienie w opracowaniu, jakim jest artykuł nie starczyłoby miejsca.

Przed wtargnięciem wirtualnym, czyli na przykład za pośrednictwem sieci Internet lub poprzez wardriving[11] można zabezpieczać się stosując sprzętowe lub programowe firewall’e[12], systemy detekcji włamań zwane w skrócie IDS[13] lub programy antywirusowe i wiele innych środków. Oczywiście skuteczność wszystkich tych systemów czy programów uzależniona jest od wielu czynników, w tym między innymi od aktualności tych programów, a także od sposobu konfiguracji etc.

3. Największe zagrożenie dla bezpieczeństwa danych

Wyżej opisane środki z różnych powodów mogą okazać się zawodne – może dojść do awarii, uszkodzenia systemu alarmowego, wartownik strzegący wejścia na teren przedsiębiorstwa może zostać obezwładniony, a także program antywirusowy ze względu na brak aktualizacji bibliotek zawierających wzorce wirusów może nie wykryć najnowszego wirusa. Przyczyn zawodności środków bezpieczeństwa może być wiele. Jednakże zwielokrotnianie zabezpieczeń, częsta kontrola ich stanu mogą dawać wysokie prawdopodobieństwo ich zadziałania w przypadku sytuacji tego wymagającej (włamanie, próba włamania). Niezawodne systemy zabezpieczeń nie istnieją, można dążyć tylko do osiągnięcia ich jak największej skuteczności.

Jednakże niczym będą najdoskonalsze systemy zabezpieczeń wobec największego zagrożenia dla bezpieczeństwa danych, jakim jest człowiek. Człowiek z wielu powodów stanowi główne zagrożenie w omawianej materii[14].

Jeżeli przedsiębiorstwo stosuje środki minimalizujące zagrożenia dla danych, przy czym są to wymieniane już środki sprzętowe i programowe, środki organizacyjne, wśród których można wymienić wewnętrzne regulaminy, szkolenia i kontrole oraz wiele innych, wówczas można rozpatrywać dwa aspekty szkodliwej działalności człowieka.

Pierwszym jest działanie celowe i świadome zmierzające do uszkodzenia, zniszczenia lub ujawnienia danych, drugim jest niezamierzone, nieświadome doprowadzenie do zagrożenia bezpieczeństwa danych.

Działanie celowe może polegać na kasowaniu danych w części lub całości, na wprowadzaniu fałszywych danych, niezgodnych z opisywaną rzeczywistością lub na przekazywaniu danych osobom nieuprawnionym do posiadania dostępu do danych. Przyczyny takiego działania mogą być różne ­­– warto wśród nich wymienić konflikt między pracodawcą i pracownikiem (może też kierować się chęcią zaszkodzenia przedsiębiorstwu, zemszczenia się na przełożonym za niepomyślną decyzję etc.), chęć osiągnięcia zysku poprzez uzyskanie korzyści majątkowej w zamian za ujawnienie danych etc.

Działanie niezamierzone czy nieświadome również może mieć wielorakie podłoże. Pracownik może nie przestrzegać regulacji wewnętrznych dotyczących ochrony danych z prozaicznego powodu: może ich nie znać lub znać je niedostatecznie, a także stosować je w niewłaściwy sposób z powodu złego rozumienia wewnętrznych regulacji dotyczących ochrony danych. Szczególnie warto wymienić przypadek, kiedy pracownik zostaje wprowadzony w błąd przez osobę, która dąży do uzyskania nieuprawnionego dostępu do danych. Taki właśnie przypadek zostanie opisany w dalszej części niniejszego opracowania.

4. Eksperyment na żywym organizmie – stosowanie najprostszych metod

Autor niniejszego opracowania zajmuje się nadzorowaniem systemów informatycznych, koordynacją prac informatyków oraz ochroną danych w polskim przedsiębiorstwie działającym w jednym z segmentów rynku usług finansowych. Autor został poproszony o weryfikację bezpieczeństwa danych w przedsiębiorstwie XX w aspekcie czysto ludzkim – wspólnie z członkiem zarządu określono, że zostanie podjęta próba uzyskania od pracowników login’ów i haseł umożliwiających uzyskanie dostępu do systemu informatycznego przedsiębiorstwa.

4.1 Projektowanie broni

Jako środka ataku autor zdecydował się użyć listu elektronicznego[15]. W przedsiębiorstwie korespondencja elektroniczna jest jedną z najczęściej używanych form komunikacji zarówno wewnątrz organizacji, jak i w kontaktach ze światem zewnętrznym.

Wewnątrz organizacji korespondencja elektroniczna jest sporym udogodnieniem w procesie wymiany informacji z kilku powodów. Po pierwsze przedsiębiorstwo ma oddziały rozsiane na obszarze całego kraju. Dlatego ta forma komunikacji umożliwia bardzo szybki i niezwykle tani przepływ informacji, a dodatkowo umożliwia dostarczenie tych informacji, w razie zaistnienia takiej potrzeby, do wszystkich pracowników w tym samym czasie bez konieczności pisania kilkudziesięciu przesyłek. Po drugie pracownicy przedsiębiiorstwa często opuszczają biura, w których pracują, więc wysyłane do nich przesyłki e-mail gromadzone są na serwerze, a stamtąd ściągane są w dogodnym dla odbiorcy momencie. Dodatkowo, jeżeli nadawca ustawi w przesyłce żądanie potwierdzenia odbioru przesyłki, wówczas może otrzymać informację o fakcie odczytania wiadomości przez odbiorcę oraz o czasie jej odczytania. Umożliwia to między innymi bardziej precyzyjną organizację pracy, gdyż osoby korespondujące między sobą, w zależności od otrzymania potwierdzenia, mogą decydować o podjęciu dalszych prac lub o niepodejmowaniu ich do czasu otrzymania potwierdzenia. Po trzecie natomiast, jedną z większych zalet korespondencji elektronicznej jest łatwość jej gromadzenia (nośniki elektroniczne mają tak duże pojemności i małe rozmiary, że możliwe jest gromadzenie nawet setek tysięcy listów elektronicznych w module pamięci wielkości opakowania gum do żucia), a także łatwość jej przetwarzania (można zlecić programowi wykonywanie różnych operacji na przesyłkach e-mail: wyszukiwanie słowa lub ciągu słów w milionach listów otrzymanych/wysłanych na przestrzeni wielu lat, można zlecić programowi pocztowemu segregowanie mial’i według różnych kryteriów, jak choćby nadawca/odbiorca, czas otrzymania/wysłania etc.).

Wybrano list elektroniczny z jednego, zasadniczego powodu.
Otóż wiele osób pobieżnie czyta treść listu, rzadko zwraca uwagę na to, kto jest rzeczywistym jego nadawcą. W mediach szeroko informuje się o zagrożeniach płynących z korzystania z poczty elektronicznej.
E-mail może zawierać szkodliwy kod (wirus, trojan), który może doprowadzić do zniszczenia lub ujawnienia danych osobom niepowołanym. W przesyłce e-mail mogą zostać także umieszczone fałszywe informacje, które właśnie podczas pobieżnego czytania mogą zostać uznane za prawdziwe. Tą drogą został przeprowadzony pozorowany „atak” na pracowników przedsiębiorstwa.

4.2 Konstruowanie broni

Administrator systemów informatycznych przedsiębiorstwa XX często wysyłał e-mail’e, które kierowane były do wszystkich pracowników przedsiebiorstwa. Zawierały one informacje, polecenia i wskazówki związane z funkcjonowaniem systemów informatycznych organizacji. Przez szereg miesięcy pracownicy przyzwyczaili się do sytuacji, że otrzymanie przesyłki e-mail z podpisem administratora oznacza zwykle konieczność wykonania pewnych czynności lub przynajmniej przyswojenia sobie nowych lub zmienionych zasad postępowania w posługiwaniu się narzędziami informatycznymi. Jest to najczęściej popełniany błąd przez osoby odbierające e-mail’e: niemalże ślepa wiara w fakt, że podpis pod treścią listu w sposób wiarygodny identyfikuje jednoznacznie rzeczywistego nadawcę listu. Tymczasem, taka praktyka ma miejsce bardzo często. Osoby chcące uzyskać zastrzeżone dane często uciekają się do pisania e-mail’i podpisywanych cudzym imieniem, nazwiskiem i tytułami. Dodatkowo przesyłkom takim nadawana jest często oprawa graficzna jednoznacznie identyfikująca je ze znaną instytucją (np. z bankiem) w celu wzmocnienia wrażenia autentyczności.

Przygotowując „atak” należało treść przesyłki e-mail skonstruować w sposób łatwy do rozpoznania dla uważnego czytelnika jako podstęp, natomiast u osoby czytającej pobieżnie, bez głębszego zastanowienia nie powinien budzić większych zastrzeżeń. Jest to niezwykle trudne, jeżeli przesyłka taka jest adresowana do kilkudziesięciu osób. Jego treść po wielu przemyśleniach została skonstruowana następująco[16]:

 

28 kwiecien 2003 rok

Czesc wszystkim!

W zwiazku z przebudowa systemu ochrony danych w naszej Firmie konieczna jest weryfikacja poprawnosci konfiguracji systemu Remus. W tym celu na moj specjalny adres prosze przeslac dokumenty stworzone w programie MS Word wg nast. schematu:

– nazwa pliku „nazwiskoimiehaslo.doc”, gdzie w miejsce „nazwisko i imie” wstawiamy te prawdziwe,

– zawartosc pliku: w pierwszym wierszu login do systemu

                            w drugim wierszu haslo do systemu

– plik musicie koniecznie wyslac jako zalacznik do maila

– ze wzgledu na wdrazane procedury bezpieczenstwa nie nalezy sie w tej sprawie kontaktowac z NIKIM w jakiejkolwiek formie (mail, telefon etc.), poniewaz to rowniez podlega w dniu dzisiejszym weryfikacji

– wyslanie wyzej podanych informacji musi nastapic BEZWZGLEDNIE w dniu 30 kwietnia, najszybciej, jak sie da!

– o procedurze z tego maila zabrania sie rozmawiac z kimkolwiek nawet w swojej jednostce

– niewykonanie procedury grozi powaznymi konsekwencjami sluzbowymi  oraz przewidzianymi w Ustawie o ochronie danych osobowych

– procedura jest czescia przygotowania do zlozenia wniosku do Inspektora Nadzoru Danych Osobowych, dlatego jest ona tak pilna!

Pliki prosze wyslac na specjane szyfrowane i zabezpieczone konto: security@et.pl

Z gory dzieki! Milego swietowania podczas dlugiego weekendu!!

Pozdrawiam Was!

N.N.

XX S.A.

Filia w WW

< —- koniec przesylki —- >

……

W tym miejscu nastąpiła długa przerwa w treści, licząca kilkadziesiąt wierszy, za którą znajdował się poniższy tekst, a dotarcie do którego wymagało przesunięcia treści okienka w dół – konieczność taką sugerował boczny pasek przewijania w okienku:

…….

This mail was sent for potential danger verification

If you understand this, you should know what this means.

Adrian Mole

Treść przesyłki ma wiele cech, które przez uważnego czytelnika powinny zostać natychmiast wychwycone jako podejrzane. Przede wszystkim, ponieważ autor od wielu miesięcy wysyłał przesyłki e-mail do wszystkich pracowników przedsiębiorstwa, styl w jakim pisane były jego listy elektroniczne powinien stać się rozpoznawalny. Tymczasem w wyżej przedstawionym tekście jest wiele odstępstw od tego stylu, ba! nawet wiele błędów językowych, których autor zwykle nie popełniał. Tak więc już na początku został użyty nieprawidłowy format daty: powinna ona być podana jako 28 kwietnia[17] 2003 roku (w tym formacie autor zawsze podawał daty w swoich przesyłkach). Cechą tekstu, która powinna wydać się podejrzaną już na początku jest brak polskich znaków w wyrazach, czego autor dotąd nigdy nie robił tym bardziej, że powszechnie używane jest w przedsiębiorstwie oprogramowanie wskazujące błędy w tekście, zwłaszcza brak polskich znaków.

Rażąco nietypowa dla autora jest też forma powitania: „Czesc wszystkim!” Korzystanie ze specjalnego konta pocztowego, za pośrednictwem którego można rozsyłać przesyłki e-mail do wszystkich pracowników przedsiębiorstwa, bez względu na zajmowane stanowisko, obwarowane jest także pewnymi zasadami, między innymi dotyczącymi stosowania niektórych zwrotów. Zbyt swobodne, jak miało to miejsce w przypadku cytowanego listu e-mail, posługiwanie się pewnymi zwrotami jest niemile widziane i ustanowione w przedsiębiorstwie zasady nie dopuszczają ich. Zatem jest to kolejna, łatwa do rozpoznania cecha podważająca autentyczność przesyłki.

Następnym zabiegiem zastosowanym w omawianej przesyłce e-mail było użycie starej, nieaktualnej nazwy systemu, który w związku ze zmianą koncepcji działania zmienił także nazwę na Romulus. Nazwa ta w momencie pisania omawianego e-mail’a używana była już ponad rok. Pracownicy używali jeszcze – coraz rzadziej – w okresie, kiedy pisany był e-mail nazwy Remus, ale w oficjalnej korespondencji od ponad dwunastu miesięcy funkcjonowała nazwa Romulus.

Kolejnym zabiegiem, tym razem mającym na celu uwiarygodnienie przesyłki było wprowadzenie procedury, która ma sugerować przemyślane, spokojne, dokładnie zaplanowane oraz uporządkowane działanie, które w pierwszej chwili raczej nie kojarzy się z nieuczciwymi zamiarami. W treści przesyłki była mowa o „Inspektorze Nadzoru Danych Osobowych”, co powinno wywołać wątpliwości u kilku osób bezpośrednio zaangażowanych w opracowywanie w tym czasie wniosku do Generalnego Inspektora Ochrony Danych Osobowych.

Pod treścią przesyłki widnieje podpis, który zawiera kolejny błąd: w spółce XX nie ma filii – są tylko oddziały. Po liczącej kilkadziesiąt wierszy przerwie umieszczono, oprócz dwóch zdań w języku angielskim, jeszcze dopisek: Adrian Mole. Średnia wieku w spółce XX pozwalała przypuszczać, że duża część czytelników przesyłki słyszała wcześniej, iż Adrian Mole to bohater wyświetlanego niegdyś serialu nakręconego na podstawie książki Sue Townsend. Miał to być dodatkowy symptom fałszywości przesyłki czy wręcz żartu, jakim mogła ona być.

Następnym elementem, który powinien zwrócić uwagę odbiorców był adres, spod jakiego list został nadany. Specjalnie dla celów eksperymentu została utworzona skrzynka na zewnętrznym, komercyjnym serwerze. Adres nadawcy, który widniał w nagłówku przesyłki nie był w żaden sposób zgodny z adresami poczty elektronicznej stosowanymi w przedsiębiorstwie XX. Dodatkowo zabroniono rozmów z kimkolwiek na temat treści e-mail’a oraz posłużono się groźbą wyciągnięcia konsekwencji służbowych w celu zmniejszenia prawdopodobieństwa ujawnienia próby oszustwa – pracownicy nie omawiając ze sobą problemu nie mogli tym samym powiadomić o podejmowanych przez kogoś próbach oszustwa osób, które nie czytały przesyłki, a które mogły szybciej odkryć próbę wyłudzenia informacji.

Niezwykle ważny był czas wysłania listu: krótko przed tak zwanym długim weekendem (1-4 maja). Zwiększało to prawdopodobieństwo powodzenia działania podjętego w celu wyłudzenia login’ów oraz haseł do systemu. Dni przed planowaną dłuższą przerwą w działalności, praktycznie w większości gałęzi gospodarki, to okres wzmożonej pracy. Chcąc uniknąć problemów, które mogły się pojawić w tym czasie należało sfinalizować wiele spraw. Powstający z tego powodu nawał obowiązków dawał szansę, że czujność i dociekliwość pracowników zostaną obniżone, a w konsekwencji atakujący zyskiwał cztery dni na uzyskanie dostępu do danych, na ich skopiowanie, zmianę lub zniszczenie.

4.3 Atak

Cytowany w punkcie 4.2 e-mail został wysłany 28 kwietnia 2003 roku, tuż po zakończeniu dnia pracy. Dzięki temu pracownicy przeglądający zawartość swoich skrzynek poczty elektronicznej na początku następnego dnia pracy, jako jeden z pierwszych mogli przeczytać list zawierający polecenie przesłania haseł i login’ów.

W systemie Romulus dostęp do danych rozwiązany jest poprzez system uprawnień. Każdy użytkownik wraz z nadaniem login’u i hasła otrzymuje określony zakres uprawnień. Istnieje kilka zakresów uprawnień:

• administrator – pełen zakres wraz z prawami nadawania uprawnień innym użytkownikom;
• dyrektor zarządzający/pełnomocnik – pełen zakres z wyjątkiem prawa nadawania uprawnień (m.in. ma możliwość przeglądania zapisów dokonywanych w systemie przez każdego użytkownika);
• dyrektor oddziału – prawo dokonywania wpisów i przeglądania wpisów użytkowników podległych służbowo (zatrudnionych w tym samym oddziale);
• pracownik – prawo dokonywania wpisów i przeglądania wpisów pracowników podległych temu samemu przełożonemu.

Autor miał login z przyporządkowanym zakresem uprawnień administratora. Członek zarządu zatwierdzający przeprowadzenie eksperymentu był drugim i ostatnim użytkownikiem systemu o takim samym zakresie uprawnień.

Dzień pracy w przedsiębiorstwie XX zaczyna się o godzinie 7:00. 29 kwietnia 2003 roku o godzinie 7:05 autor otrzymał pierwszą przesyłkę będącą odpowiedzią na e-mail cytowany w punkcie 4.2. Nadawcą był pracownik posiadający najniższy zakres uprawnień w systemie Romulus. Hipotetyczny „atakujący” mógł w tym momencie uzyskać dostęp do większości danych dotyczących obszaru działania jednego z oddziałów przedsiębiorstwa. Korzystając z uzyskanego dostępu mógł rozpocząć przeglądanie danych, ich kopiowanie, zmienianie lub kasowanie. Zakres szkód w skali przedsiębiorstwa pozornie nie byłby duży, ale ich konsekwencje mogły być bardzo poważne[18].

Do godziny 9:00 tego samego dnia nadeszły jeszcze e-mail’e od pięciu osób – każda z innego oddziału. O godzinie 9:10 nadszedł pierwszy e-mail od dyrektora oddziału. Przed godziną 10:15 autor otrzymał w sumie pięć przesyłek od dyrektorów oddziałów. Pozwalało to na niemal pełną kontrolę nad danymi w systemie Romulus, należącymi do pięciu oddziałów. Duża część danych przedsiębiorstwa mogła znaleźć się pod kontrolą osoby nieuprawnionej do uzyskania takiego dostępu.

Przed godziną 12:00 na e-mail autora odpowiedzieli wszyscy obecni w tym dniu pracownicy. O godzinie 10:50, 11:05 oraz o 11:20, dyrektorzy trzech oddziałów zgłosili bezpośrednio autorowi, że wystąpiło zagrożenie ujawnienia danych przedsiębiorstwa z powodu próby wyłudzenia login’ów i haseł do sytemu Romulus. Dwie osoby wysłały zgłoszenie tego faktu na prawidłowy adres e-mail autora, trzecia uczyniła to drogą telefoniczną. Wszystkie trzy osoby zostały w bezpośredniej rozmowie poinformowane o fakcie przeprowadzania eksperymentu. Zostały także poproszone o zachowanie swojej wiedzy w tajemnicy do następnego dnia rano.

Jeden z najważniejszych momentów eksperymentu nastąpił o godzinie 16:40: swój login oraz hasło przysłał jeden z pełnomocników, dzięki czemu możliwe stało się uzyskanie niemal pełnej kontroli nad systemem. O godzinie 17:00 to samo uczynił drugi pełnomocnik, co jednak z praktycznego punktu widzenia niczego już nie zmieniało, ponieważ potencjalny atakujący już od 20 minut dysponował pełnym dostępem do systemu.

Następnego dnia, 30 kwietnia autor o godzinie 6:50 wysłał do wszystkich osób zatrudnionych w przedsiębiorstwie XX e-mail z wyjaśnieniem dotyczącym wysłanego dwa dni wcześniej listu. E-mail ten zawierał wyjaśnienie dotyczące przeprowadzonego eksperymentu oraz ostrzeżenie prze tego typu przesyłkami. Tego samego dnia, o godzinie 9:00 i 9:20 autor otrzymał jeszcze dwa e-mail’e zawierające hasła i login’y do systemu Romulus. Tydzień później (!) autor otrzymał kolejne dwie przesyłki z danymi umożliwiającymi uzyskanie dostępu do systemu.

4.4 Analiza eksperymentu

Jedną z funkcjonalności systemu Romulus jest terminarz, w którym zawarte są zapisy dotyczące planowanych spotkań, dat zakończenia umów, czasu przygotowania dokumentów dla klienta oraz wszelkich przypomnień związanych z współpracą z klientem.

Przedsiębiorstwo XX świadczy usługi finansowe dla swoich klientów. Przeoczenie terminu odnowienia umowy może pociągać za sobą konsekwencje w postaci utraty klienta, ale może także doprowadzić do sytuacji, w której klient będzie się domagał wypłaty odszkodowania za straty poniesione w wyniku nieterminowej realizacji zapisów umowy. W obydwu przykładowych sytuacjach dodatkowym efektem może być utrata wiarygodności przedsiębiorstwa XX, a w dalszej perspektywie zerwanie umów współpracy przez większość klientów, ergo: zaprzestanie działalności przedsiębiorstwa XX. Osoba chcąca wyrządzić szkodę przedsiębiorstwu XX, mając dostęp do systemu Romulus, mogłaby usunąć lub zmienić wpisy w terminarzu doprowadzając do chaosu. Skutki takie mogło pociągnąć za sobą uzyskanie przez atakującego dostępu na poziomie uprawnień pracownika. Atakujący mógłby posłużyć się login’em i hasłem pracownika obsługującego kluczowego klienta. W takim przypadku skasowanie wpisów lub wprowadzenie fałszywych, mylących zapisów mogłoby doprowadzić do poważnego zakłócenia działalności przedsiębiorstwa, przy czym nie byłby do tego potrzebny wysoki poziom uprawnień w dostępie do danych oraz funkcji systemu.

Jak wspomniano w poprzednim punkcie, w treści listu elektronicznego zawarto wiele wskazówek ułatwiających rozpoznanie fałszerstwa. Zawarto jednak także elementy mające ułatwić atakującemu osiągnięcie efektu. Jednym z nich, w dodatku niezwykle skutecznym, było zabronienie kontaktowania się z innymi pracownikami w sprawie treści przesyłki e-mail. Okazało się, że poza trzema osobami, wszyscy pracownicy posłusznie zastosowali się do tego zakazu. W wyniku rozmów przeprowadzonych  po eksperymencie z jego uczestnikami okazało się, że zakaz ten przez większość uczestników został potraktowany z całą powagą, z obawy przed ewentualnymi konsekwencjami. Nieliczni tylko zaryzykowali poniesienie ewentualnych konsekwencji w imię dobra przedsiębiorstwa. Jest to pole do szerszego omówienia i dyskusji, ale najkrócej problem można określić, jako brak pełnej identyfikacji pracowników z przedsiębiorstwem. Przyczyn tego stanu można szukać w polityce zarządzania kadrami.

Na pytanie „dlaczego nie powiadomiłaś (-eś) o treści listu nikogo?”, najczęściej autor otrzymywał odpowiedź, że przedsiębiorstwo jest w stanie poradzić sobie z takimi problemami sama, „nie do mnie należy dbanie o takie sprawy”. Świadczy to o braku poczucia przynależności do grupy ludzi, którzy de facto współtworzą przedsiębiorstwo, jej kształt, obraz, ale także i jej odruchy obronne. Błędne pojęcie własnej roli w tym układzie nie musi świadczyć źle o pracownikach, ale raczej o błędach popełnianych w tym zakresie przez zarząd. Niedostatecznie zwracano dotychczas uwagę na scalanie kadry i uświadamianie wpływu postępowania jednostki na byt całej grupy, na losy przedsiębiorstwa.

Po eksperymencie podjęto szereg działań mających na celu zmianę tego stanu rzeczy. Między innymi przeprowadzone zostało szkolenie ukazujące zagrożenia bezpieczeństwa danych oraz prezentujące przykłady prawidłowych zachowań w przypadku wystąpienia takiego zagrożenia. Dyskusja, jaka wywiązała się podczas szkolenia, trwała jeszcze szereg dni – głównie za pośrednictwem poczty elektronicznej. Dowiodła on, że przekazanie minimalnego zasobu wiedzy połączone z odpowiednim ukierunkowaniem myślenia o bezpieczeństwie podmiotu zatrudniającego, powoduje znaczny wzrost świadomości pracowników w danej dziedzinie.

W konsekwencji poprawie uległo bezpieczeństwo przedsiębiorstwa rozpatrywane na różnych płaszczyznach. Jakkolwiek zaznaczyć należy, że wystąpiły przykłady jednostek reagujących odmiennie. Dwie osoby nadesłały login i hasło tuż po powiadomieniu całej załogi o eksperymencie – równie dobrze mogło to być przecież powiadomienie o rzeczywistym ataku. W tej sytuacji zachowanie dwóch osób mogło doprowadzić do wzrostu zagrożenia. Kolejne osoby przesyłając login oraz hasło tydzień po eksperymencie (!) wykazały się kompletnym lekceważeniem zasad bezpieczeństwa. Jak się później okazało, osoby te po powrocie z urlopu odpowiadały w kolejności chronologicznej na przesyłki e-mail, które oczekiwały na nie w skrzynce pocztowej podczas ich nieobecności.

Problem błędów popełnionych przez zarząd nabiera szczególnej wymowy w świetle wydarzeń, które miały miejsce o godzinie 16:40 i 17:00 w dniu 29 kwietnia. Wysłanie login’ów oraz haseł przez pełnomocników zarządu świadczy o ważnym aspekcie bezpieczeństwa lub raczej o jego braku. W wielu dziedzinach, zwykło się mawiać, że przykład płynie „z góry”. Pełnomocnicy zarządu, a jednocześnie współwłaściciele przedsiębiorstwa udowodnili, że brak świadomości związanej z zagrożeniami systemów informatycznych bierze się właśnie „z góry”. Dodatkowym zagrożeniem ze strony niektórych pełnomocników był fakt, że przy ich niskiej świadomości w zakresie bezpieczeństwa komputerowego posługiwali się oni komputerami przenośnymi z modułami bezprzewodowego dostępu do sieci Internet – GPRS oraz WiFi. Zabezpieczenie tak wyposażonych komputerów nie jest trudnym do wykonania zadaniem, ale wymaga minimum wiedzy i przede wszystkim świadomości istnienia zagrożeń.

Tydzień po przeprowadzeniu eksperymentu komputery przenośne używane przez pełnomocników oraz dyrektorów oddziałów zostały skontrolowane pod kątem bezpieczeństwa danych. Żaden z nich nie był zabezpieczony przed nieautoryzowanym dostępem poprzez Sieć.

Stan taki utrzymywał się mimo posiadania przez przedsiębiorstwo XX licencji na oprogramowanie zabezpieczające, zawierające między innymi moduł firewall.

Na pytanie o przyczynę zaniedbania wszyscy użytkownicy komputerów odpowiadali, że nie są informatykami, a ponadto ich praca polega na pośrednictwie finansowym, a nie „na grzebaniu w komputerach”. Wobec takich odpowiedzi przełożonych nie mogły dziwić odpowiedzi pracowników na pytanie o to, dlaczego praktycznie żaden spośród nich nie zareagował na przesyłkę e-mail z 28 kwietnia powiadamiając na przykład przełożonych lub osobę odpowiedzialną za stan systemów informatycznych o potencjalnym zagrożeniu. Odpowiedzi te były dokładnie takie same, jak w przypadku pełnomocników oraz dyrektorów oddziałów.

Około 15% pracowników nie odpowiedziało w ogóle na omawianą przesyłkę, ale było to powodowane urlopami oraz wyjazdami służbowymi. Zaledwie 3% pracowników zareagowało prawidłowo powiadamiając przełożonego albo osobę koordynującą prace związane z systemami informatycznymi w przedsiębiorstwie XX.

Można więc z dużym prawdopodobieństwem przyjąć, że w przypadku stuprocentowej obecności kadry przedsiębiorstwa XX w dniu 29 kwietnia odsetek osób, które zareagowałyby prawidłowo, starając się chronić przedsiębiorstwo przed niebezpieczeństwem nieuprawnionego dostępu do danych, byłby niestety podobny. Przemawia za tym także reakcja osoby będącej feralnego dnia na urlopie, która po tygodniu nadesłała swoje dane.

Podczas szkolenia z zakresu bezpieczeństwa danych zostały omówione efekty opisywanego w niniejszym opracowaniu eksperymentu. Wówczas kolejny raz z ust wielu osób padło stwierdzenie, że pośrednicy finansowi nie muszą się znać komputerach oraz dodatkowo, że dni 29–30 kwietnia były szczególne z powodu spiętrzenia prac, które należało w możliwie krótkim czasie wykonać. Dowiodło  to, między innymi słuszności wyboru daty wykonania pozorowanego ataku.

W kwestii znajomości obsługi komputerów, podczas szkolenia autor posłużył się porównaniem tej obsługi do prowadzenia samochodu.

Współczesne samochody są niezwykle złożonymi produktami myśli i pracy ludzkiej. Ponad 90% pracowników przedsiębiorstwa XX posiada prawo jazdy i często posługuje się samochodami służbowymi, wiele osób ma samochody prywatne. Pojazdy wymagają pewnych zabiegów oraz codziennej diagnostyki dokonywanych przez właściciela/użytkownika. Nikt poza użytkownikiem nie zwróci uwagi na podejrzane hałasy emitowane przez któryś z elementów, nikt poza nim nie będzie przestrzegał terminów wymiany oleju, rozrządu etc. To też wymaga posiadania pewnej specjalistycznej, aczkolwiek nie dogłębnej wiedzy. Podobnie w przypadku komputerów: nie wymaga się od pracowników przedsiębiorstwa XX umiejętności budowania komputerów, wymieniania poszczególnych ich elementów, bądź naprawiania. Jednakże użytkowanie komputera wymaga pewnego minimum wiedzy. Najpoważniejszym błędem jest to, że przedsiębiorstwo nie zadbało o weryfikację oraz o ewentualne podniesienie umiejętności oraz wiedzy pracowników w tym zakresie. Pracodawca de facto wymagał od pracowników tego samego czego od siebie wymagał… czyli niewiele.

Po eksperymencie podjęto decyzję o przeprowadzeniu szeregu zmian w funkcjonowaniu systemu Romulus. Wdrożono nowe procedury bezpieczeństwa, mające w przyszłości uchronić przedsiębiorstwo przed podobnymi, ale rzeczywistymi atakami. Przeprowadzona została akcja informacyjna, której celem było przekazanie w sposób jak najbardziej przystępny wiedzy związanej z problematyką bezpieczeństwa systemów informatycznych. Wreszcie, jesienią tego samego roku zorganizowane zostało wspominane już szkolenie, podczas którego zostały omówione założenia eksperymentu, jego przebieg oraz skutki. Omówienie eksperymentu na szerokim forum pozwoliło na wymianę poglądów – często skrajnie różnych – i doświadczeń. Szkolenie stało się także okazją do wyjaśnienia wielu wątpliwości oraz rozwiązania często prostych, ale poważnie utrudniających pracę problemów.

Niestety, zapał zarządu przedsiębiorstwa XX w zakresie zwiększania bezpieczeństwa systemów informatycznych trwał kilka miesięcy. Wprawdzie odnotowanych zostało kilka incydentów noszących znamiona prób wyłudzenia danych, ale wywierano coraz mniejszy nacisk na bezpieczeństwo systemów informatycznych. Głównie z tego powodu autor opuścił szeregi pracowników przedsiębiorstwa XX, nie chcąc ponosić odpowiedzialności za cudze zaniedbania oraz nie godząc się na zaniedbywanie tak istotnej dziedziny. Przedsiębiorstwo XX do dzisiaj stosuje wiele procedur i rozwiązań wprowadzonych przez autora, lecz nie ma miejsca proces rozwoju i bieżącej weryfikacji stanu zabezpieczeń.

5. Uwagi natury ogólnej – wskazówki na przyszłość

Eksperyment stał się dowodem prawdziwości pewnej tezy: uzyskanie przez osobę nieuprawnioną dostępu do najbardziej skomplikowanych systemów informatycznych, może powieść się bez stosowania jakichkolwiek narzędzi informatycznych[19].

Nie jest niezbędna znajomość stosowanego systemu operacyjnego, pod którego kontrolą pracuje komputer. Osoba atakująca nie musi dysponować wiedzą z zakresu budowy oraz funkcjonowania sieci komputerowych. Najsłabszym ogniwem w łańcuchu zabezpieczeń systemów informatycznych jest człowiek. Wykorzystanie jego słabości i przyzwyczajeń bywa najprostszą i najtańszą metodą prowadzącą do włamania się do systemu.

Decydenci w wielu podmiotach[20] zwykle nie mają jakiejkolwiek wiedzy na temat zagrożeń bezpieczeństwa systemów komputerowych. Wiedza tych osób w zakresie używania i najprostszej obsługi systemów operacyjnych oraz programów pracujących w środowisku tych systemów[21] jest tak mała, że nie pozwala na identyfikację niebezpieczeństw w tym zakresie.

Konsekwencją tego stanu rzeczy jest lekceważący stosunek szeregowych pracowników do kwestii bezpieczeństwa informatycznego. Wychodzą oni z dwóch błędnych założeń. Pierwsze z nich brzmi „ja nie muszę się na tym znać”. W praktyce, niestety, często dodaje się „w ogóle”. W przedsiębiorstwie XX pracowały osoby, które nie odróżniały przeglądarki internetowej od klienta poczty elektronicznej. Komputer tym pracownikom[22] kojarzył się z tajemniczą skrzynką, której obsługą powinni zajmować się tylko zawodowi informatycy. Często jeszcze pracownicy traktują komputer jako utrudnienie pracy, a nie jako narzędzie ułatwiające ją[23].  Problemem jest nauka obsługi komputera (sprzętu i oprogramowania).

Obawa przed stosowaniem nawet najprostszych narzędzi informatycznych, jest wręcz zaskakująca. Osoby w wieku 20-30 lat, często mają problemy z wykorzystaniem podstawowych funkcji programów służących do edycji tekstu oraz przygotowywania arkuszy kalkulacyjnych – w instytucjach finansowych są to najczęściej wykorzystywane programy.

Pracownicy dysponują bardzo ograniczoną wiedzą dotycząca działania i obsługi sprzętu oraz oprogramowania komputerowego[24] – występują wprawdzie wyjątki, ale są one nieliczne. W przypadku pojawienia się komunikatu błędu generowanego przez system operacyjny lub program, pracownik nie czytając (!) treści komunikatu dokonuje często wyłączenia komputera, co uniemożliwia późniejszą analizę przyczyn i opracowanie środków zaradczych, doprowadzając jednocześnie w niektórych przypadkach uszkodzeń sprzętu i oprogramowania. Z uzasadnienia takiego postępowania uzyskanego od pracowników wynika obawa przed czytaniem „informatycznego słownictwa”.

            W przedsiębiorstwie XX, jak wielu innych przedsiębiorstwach, organizuje się liczne szkolenia dla pracowników. Obejmują one najczęściej tematykę branżową, często organizowane są one przez kontrahentów chcących podnieść poziom wiedzy pracowników swoich partnerów biznesowych. Celem jest pogłębienie wiedzy oraz podniesienie poziomu obsługi klientów. Szkolenia z zakresu obsługi systemów informatycznych należą do rzadkości i zwykle dotyczą wąskiego grona, a nawet pojedynczych osób.

Informatyka, o czym świadczy przykład przedsiębiorstwa XX, bywa wciąż jeszcze traktowana jako dodatek do biznesu, natomiast nie jako jego integralny składnik. Codziennie każdy pracownik odbiera i wysyła dziesiątki mail’i, tworzy wiele dokumentów tekstowych oraz arkuszy kalkulacyjnych, a wyszukiwanie różnorodnych informacji w sieci Internet bywa najważniejszym źródłem pozyskiwania wiedzy[25]. Czynności te stały się tak naturalne, że przestają być zauważane jako takie. Cenne wsparcie informatyki dla procesów biznesowych najłatwiej byłoby uświadomić kadrze zarządzającej oraz szeregowym pracownikom w dniu, w którym na wiele godzin odcięto by przedsiębiorstwo od dostaw energii elektrycznej lub nastąpiłaby jakakolwiek awaria uniemożliwiająca bądź utrudniająca korzystanie z systemów informatycznych[26]. Z pewnością nie nastąpiłoby całkowite zatrzymanie procesów biznesowych, ale ich znaczne spowolnienie skutkowałoby wieloma problemami w kontaktach z światem zewnętrznym – nie tylko z kontrahentami, ale także z bankami, urzędami etc.

Niedocenianie roli systemów informatycznych w działalności przedsiębiorstwa skutkuje następująco:

• nieracjonalne i nieekonomiczne wykorzystanie potencjału systemów informatycznych prowadzące do niskiej stopy zwrotu nakładów poniesionych na informatyzację lub do braku ekonomicznego sensu poszczególnych wydatków[27],
• brak świadomości skutków ewentualnego zatrzymania pracy systemów informatycznych prowadzący do zaniedbań w dziedzinie bezpieczeństwa,
• stawianie pracownikom obniżonych (lub żadnych) wymogów w zakresie umiejętności posługiwania się narzędziami informatycznymi prowadzące do złego ich wykorzystania i osiągnięcia niższej sprawności procesów biznesowych.

            Stopień informatyzacji życia, a zwłaszcza jego dziedziny zwanej biznesem, wymaga opanowania obsługi systemów komputerowych na możliwie najwyższym poziomie bez względu na wykonywany zawód. Przy czym, przez porównanie, chodzi tutaj raczej o nabycie umiejętności zawodowego kierowcy w prowadzeniu samochodu niż o umiejętność usunięcia każdej awarii samochodu. Tego wymaga od każdego pracownika nowoczesna gospodarka, w coraz większym stopniu opierająca się na przetwarzaniu informacji. W nowoczesnych społeczeństwach komputer staje się tak powszechny w użyciu i niezbędny, jak samochód.

 

Streszczenie/Summary

Systemy informatyczne przedsiębiorstw pełnią niezwykle ważną, choć nadal często niedocenianą rolę. Niedostateczna świadomość ich roli powoduje, że są one obsługiwane przez niekompetentne osoby, ale także pociąga za sobą konsekwencje w postaci zaniedbań w dziedzinie bezpieczeństwa. Zaniedbanie bezpieczeństwa naraża dane przedsiębiorstwa na ujawnienie oraz na dostanie się w ręce osób nieupoważnionych, co może doprowadzić do bardzo poważnych konsekwencji prawnych i finansowych.

Artykuł opisuje eksperyment polegający na udowodnieniu tezy, że do źle zabezpieczonego systemu komputerowego można włamać się nie stosując specjalizowanych narzędzi informatycznych, a stosując jedynie metody socjotechniczne wspomagane w minimalnym stopniu narzędziami informatycznymi będącymi w powszechnym użyciu.

 

Bibliografia 

1. Mitnick, [2003] Sztuka podstępu. Łamałem ludzi, nie hasła, Wydawnictwo Helion, Warszawa
2. Molski, S. Opala, [2002], Elementarz bezpieczeństwa systemów informatycznych, Wydawnictwo Mikom, Warszawa
3. Wawrzyniak, [2002], Zarządzanie bezpieczeństwem systemów informatycznych w bankowości, Oficyna Wydawnicza „Zarządzanie i Finanse”, Warszawa

Internet:

Business Continuity: Nowe rodzaje ryzyka, nowe imperatywy, nowe rozwiązania
http://www-5.ibm.com/pl/services/portfolio/its/security/

Gartner: linuksowy sposób na Windows – udział systemów Windows oraz Linux w rynku
http://inf.management.computerworld.pl/news/71028/100.html
http://newsroom.chip.pl/news_archive.php?b=45902

J. Uniewski, Social Engineering – sposób na zdobycie informacji
http://www.bezpieczenstwoit.pl/Artykuly/Bezpieczenstwo_sieci/Jacek%20Uniewski,Social%20Engineering/index.html

Opis standardu zapisu danych DVD
http://pl.wikipedia.org/wiki/DVD

Opis systemu wykrywania włamań IDS
http://pl.wikipedia.org/wiki/IDS
http://www.nask.pl/run/n/ids_ips_opis
http://www.clico.pl/b/t/12_2002_no_1/ids_giga_inline.pdf

Opis zapór sieciowych firewall
http://pl.wikipedia.org/wiki/Firewall
http://webdeveloper.pl/firewall__1,147,1,1,pl.html

Wyjaśnienie pojęcia wardriving’u
http://www.wardriving.pl/

[1] Do napisania niniejszego artykułu inspiracją była rozmowa z Panem Profesorem F. Krzykałą, której części artykuł jest de facto zapisem

[2] dostawcy, odbiorcy, banki etc.

[3] hardware i software

[4] szczegóły projektów realizowanych przez przedsiębiorstwo, ustalenia związane z negocjacjami warunków umów etc.

[5] przed upowszechnieniem się komputerów

[6] http://pl.wikipedia.org/wiki/DVD

[7] Blu Ray – http://pl.wikipedia.org/wiki/Blu-ray

[8] w dalszej części tekstu stosowane będą zamiennie nazwy Sieć i Internet

[9] M. Molski, S. Opala, Elementarz bezpieczeństwa systemów informatycznych, Wydawnictwo Mikom, Warszawa 2002, s. 53

[10] D. Wawrzyniak, Zarządzanie bezpieczeństwem systemów informatycznych w bankowości, Oficyna Wydawnicza „Zarządzanie i Finanse”, Warszawa 2002, s. 47

[11] tym mianem określa się szereg metod prowadzących do uzyskania dostępu do sieci bezprzewodowych – najczęściej przedsiębiorstw – w celu uzyskania dostępu do danych zawartych w takiej sieci lub dla uzyskania tą droga dostępu do sieci Internet  http://www.wardriving.pl/

[12] firewall (ang. ściana ogniowa, zapora przeciwogniowa) to komputer wraz z odpowiednim oprogramowaniem, samo oprogramowanie lub specjalizowane urządzenie (tzw. firewall sprzętowy) służące ochronie sieci, serwera lub komputera przed nieuprawnionym dostępem http://pl.wikipedia.org/wiki/Firewall lub http://webdeveloper.pl/firewall__1,147,1,1,pl.html

[13] Intruder/Intrusion Detection System (system wykrywania włamywaczy/włamań, dosł. wtargnięć) http://pl.wikipedia.org/wiki/IDS, http://www.nask.pl/run/n/ids_ips_opis lub http://www.clico.pl/b/t/12_2002_no_1/ids_giga_inline.pdf

[14] J. Uniewski, Social Engineering – sposób na zdobycie informacji

http://www.bezpieczenstwoit.pl/Artykuly/Bezpieczenstwo_sieci/Jacek%20Uniewski,Social%20Engineering/index.html

[15] w dalszym ciągu będzie używane zamiennie określenie e-mail

[16] wszelkie nazwy i określenia oraz inne dane mogące zidentyfikować podmiot, w którym został przeprowadzony eksperyment zostały zmienione

[17] dwudziesty ósmy dzień kwietnia, a nie kwiecień – w kalendarzu jest to miesiąc czwarty z kolei

[18] analiza skutków oraz ocena potencjalnych konsekwencji zostaną przedstawione w punkcie 4.4

[19] Zwolennikiem podobnej tezy jest jeden z najbardziej znanych hakerów świata Kevin Mitnick, zajmujący się obecnie doradztwem w dziedzinie bezpieczeństwa systemów informatycznych. Teza taka przewija się między innymi w książce K. Mitnick’a, Sztuka podstępu. Łamałem ludzi, nie hasła, Wydawnictwo Helion, Warszawa 2003 – tytuł mówi wiele

[20] Autor od 1992 roku do 2003 roku z podobnymi problemami miał do czynienia w większości miejsc pracy

[21] na całym świecie najczęściej jest to system Windows (NT, 2000, XP, Vista, 7)
http://inf.management.computerworld.pl/news/71028/100.html
http://newsroom.chip.pl/news_archive.php?b=45902

[22] autor odbył wiele rozmów z pracownikami przedsiębiorstwa XX, z których wynikało, że często, mimo ich młodego wieku, wiedza z zakresu ogólnie pojmowanej obsługi komputera jest znikoma

[23] Autor na początku lat dziewięćdziesiątych w jednej z warszawskich placówek bankowych widział tablicę „Przepraszamy za spowolnienie obsługi z powodu wprowadzenia komputerów” – okazuje się, że po kilkunastu latach są jeszcze miejsca, w których podobne napisy nadal można umieszczać…

[24] Młody wiek takich osób świadczy o ułomności systemu edukacji w Polsce, który nie potrafi w pełni przygotować wszystkich absolwentów do życia we współczesnym świecie nie mogącym się już obejść bez techniki komputerowej w niemal każdej dziedzinie

[25] W jednym z oddziałów przedsiębiorstwa XX autor obserwował pracę osób zajmujących się obsługą klientów – średnio 10 razy w ciągu godziny wykorzystywana była wyszukiwarka internetowa, najczęściej Google oraz Onet.pl

[26] Business Continuity: Nowe rodzaje ryzyka, nowe imperatywy, nowe rozwiązania
http://www-5.ibm.com/pl/services/portfolio/its/security/

[27] Najprostszym przykładem może być zakup komputera o dużej mocy obliczeniowej z drogim pakietem oprogramowania podczas, gdy będzie on wykorzystywany tylko do edycji tekstów z powodu, chociażby, braku umiejętności w posługiwaniu się nim