Cyberbezpieczeństwo spółek giełdowych (2014)

W ostatnim czasie dość dużo dyskusji w mediach społecznościowych dotyczy cyberbezpieczeństwa. Przy czym niestety, jak w przypadku wielu nowych (?) trendów i rozwiązań, modne słowo staje się sposobem na zwiększenie sprzedaży, wytrychem na większą oglądalność. W kontekście walki z modą, jak i prezentacji rozwiązań już istniejących, przypominamy kolejne wydarzenie w którym brali udział eksperci Instytutu Bezpieczeństwa i Informacji.

4 grudnia 2014 roku, w Sali Notowań warszawskiej Giełdy Papierów Wartościowych odbyła się konferencja „Cyberbezpieczeństwo Spółek Giełdowych”. Instytut Bezpieczeństwa i Informacji był reprezentowany w trakcie wydarzenia przez prezesa zarządu, pana Grzegorza Krzemińskiego. W uznaniu dokonań i doświadczenia jak i holistycznego podejścia do zarządzania bezpieczeństwem informacji nasz przedstawiciel został zaproszony do panelu eksperckiego, podsumowującego całodzienne obrady. Zasiadł w towarzystwie tak znamienitych gości jak prezes Związku Banków Polskich, były szef Agencji Bezpieczeństwa Wewnętrznego czy delegat specjalnej komórki Europol ds. zwalczania przestępstw cybernetycznych.

Organizatorzy nie zawiedli się. W trakcie krótkiej przemowy pan Grzegorz Krzemiński wskazał kolejne „zamknięte drzwi”, czyli brak przepływu informacji i integracji w strukturach w bezpieczeństwie w firmie. Tym razem wystąpienie swoje oparł o teorię nadużyć wskazując, że wiele osób z tzw. personelu IT dokonuje wprost nadużyć. Czyli działa umyślnie, w celu uzyskania korzyści, wykorzystując posiadane uprawnienia. Niezależnie, czy korzyścią będzie mniej pracy (tzw. kradzież godzin pracowniczych), sprzedaż usług zaprzyjaźnionej firmy i uzyskanie z tego tytułu prowizji, czy wprost wejście w posiadanie informacji, którymi nie powinni dysponować. Wszystkie te działania noszą znamiona nadużyć, popularnie nazywane również z języka angielskiego fraudami.

W podsumowaniu krótkiej przemowy, pan Grzegorz Krzemiński wskazał, że bardzo dobrym rozwiązaniem jest wyszukanie w organizacji już wdrożonych rozwiązań w dziedzinie bezpieczeństwa i ich wykorzystanie, co nazwał „otwieraniem drzwi”.

Klasyczny trójkąt nadużyć wg. koncepcji Cresseya obejmuje trzy czynniki, które muszą zaistnieć, aby doszło do nadużycia (fraudu):

  • Presja:
    Związana jest często z wewnętrzną motywacją pracownika do osiągnięcia korzyści. Można ją powiązać z teorią motywacji. 
  • Okazja:
    Związana jest z możliwością popełnienia nadużycia. Często wynika ze słabych systemów nadzorczych. 
  • Racjonalizacja:
    Związana jest z uzasadnieniem fraudu jako czynu o niskiej szkodliwości.

Teorię Cresseya rozwinął w swojej pracy kolejny zespół doradczy, dodając dwa dodatkowe elementy:

  • Kompetencja:
    Rozumiana jako umiejętność omijania zabezpieczeń.
  • Arogancja:
    Mająca swoje źródła często w samoocenie pracownika (często kompleksach).