Bezpieczeństwo osobowe, to te działania, które prowadzą do minimalizacji ryzyka, że ktoś z pracowników lub osób uprawnionych do wejścia na teren IK zakłóci funkcjonowanie urządzeń, systemów, a szerzej – przedsiębiorstwa. Chodzi więc o zagrożenia wewnętrzne i celowe działania, jak na przykład akty sabotażu. Nie od dziś bowiem wiadomo, że najsłabszym elementem każdego systemu bezpieczeństwa jest człowiek…
W Narodowym Programie Ochrony Infrastruktury Krytycznej (NPOIK) zdefiniowano sześć obszarów, które są kluczowe dla bezpieczeństwa infrastruktury krytycznej; bezpieczeństwo fizyczne, czyli działania organizacyjne i techniczne, które mają minimalizować ryzyko zakłócenia funkcjonowania IK w następstwie działań osób, które nielegalnie przedostałyby się lub usiłowały się dostać na teren przedsiębiorstwa, bądź zakłócić działanie systemu. Bezpieczeństwo techniczne to ten typ działań, które minimalizują ryzyko zaburzenia realizowanych procesów technologicznych na etapie wdrożenia, eksploatacji i serwisowania. Bezpieczeństwo osobowe, to te działania, które prowadzą do minimalizacji ryzyka, że ktoś z pracowników lub osób uprawnionych do wejścia na teren IK zakłóci funkcjonowanie urządzeń, systemów, a szerzej – przedsiębiorstwa. Chodzi więc o zagrożenia wewnętrzne i celowe działania, jak na przykład akty sabotażu. Bezpieczeństwo teleinformatyczne dotyczy minimalizacji ryzyka zakłócenia funkcjonowania IK w następstwie oddziaływania na aparaturę kontrolną oraz systemy i sieci teleinformatyczne. Bezpieczeństwo prawne to zabiegi i procedury, które chronią przedsiębiorstwo przed skutkami prawnych działań podmiotów zewnętrznych oraz – jako szósty punkt w tym swoistym sześciopaku – plany ciągłości działania i odtwarzania, rozumiane jako zespół działań organizacyjnych i technicznych prowadzących do utrzymania i odtworzenia funkcji realizowanych przez infrastrukturę krytyczną.
W załączniku nr 2 do NPOIK czytamy: „Członkowie personelu związanego z obiektami, urządzeniami, instalacjami i usługami infrastruktury krytycznej oraz osoby czasowo przebywające w obrębie IK (usługodawcy, dostawcy i goście) mogą stanowić potencjalne zagrożenie dla jej funkcjonowania. Pozycja zajmowana w strukturze operatora IK determinuje poziom dostępu fizycznego do kolejnych stref bezpieczeństwa oraz dostęp do informacji wrażliwych, niekoniecznie niejawnych. Oba te przywileje mogą być nielegalnie wykorzystane i służyć zakłóceniu funkcjonowania IK lub działaniu na jej niekorzyść […]”. W tym samym dokumencie znajdziemy szereg wskazówek z zakresu tzw. ochrony osobowej, która powinna być organizowana na trzech etapach: procesu rekrutacji, zatrudnienia i odchodzenia ze stanowiska.
W NPOIK zawarto ponadto kilka kluczowych stwierdzeń: „W każdej organizacji są osoby posiadające newralgiczną (unikalną) wiedzę na temat jej funkcjonowania oraz doświadczenie i ‘pamięć instytucjonalną’. Są one szczególnie cenne dla organizacji, a jednocześnie stanowią potencjalnie największe zagrożenie na wypadek działania na niekorzyść organizacji. […] Takie osoby powinny mieć zapewnione przez pracodawcę satysfakcjonujące warunki pracy, obejmujące wynagrodzenie, czas pracy i prestiż. Pracodawca powinien zapewnić także możliwość sukcesywnego podnoszenia kompetencji oraz wsparcie podmiotów zewnętrznych”.
Tyle teorii. A jaka jest praktyka? O bezpieczeństwie osobowym pisze się rzadko. Z jednej strony spektakularne przypadki działalności tzw. insiderów najczęściej wyciszano czy trzymano w tajemnicy, bo nikomu nie zależy na negatywnym rozgłosie, z drugiej ostatnie lata obfitują w mnogość przypadków naruszenia cyberbezpieczeństwa. O bezpieczeństwie osobowym było cicho. Do czasu. Bo w 2020 wszystkie redakcje jak świat długi i szeroki zagotowały się na wieść o spektakularnej próbie przekupstwa pracownika Tesli. Choć praktycznie nikt z komentujących dziennikarzy terminu „bezpieczeństwo osobowe” nie użył, to nie da się bardziej precyzyjnie pokazać, na czym polega to pojęcie i co może się stać, gdy pracownik da się skusić.
W sierpniu 2020 r. pracownik jednej z fabryk należących do koncernu Tesla został zaproszony na kolację. Inżynier z Nevady spotkał się z dawno niewidzianym Rosjaninem, który akurat w celach turystycznych przebywał w USA. W tym momencie warto przypomnieć historię dwóch innych rosyjskich turystów, którzy przypadkiem zorganizowali sobie wycieczkę do miejsca, gdzie przebywał niepokorny rosyjski szpieg, Siergiej Wiktorowicz Skripal, i jego córka, oboje otruci potem nowiczokiem. W Internecie można znaleźć fragmenty kuriozalnego wywiadu pokazywanego przez rosyjską telewizję, w którym dwaj trenerzy fitness rozprawiają o pięknie katedry w Salisbury i bezpodstawnych oskarżeniach brytyjskiego wywiadu, że jakoby mieli być funkcjonariuszami rosyjskich służb specjalnych. Nie wiadomo, czy Jegor Igoriewicz Kriuczkow zwiedzał w Nevadzie jakaś katedrę, wiadomo, że zaproponował pół miliona dolarów (w dowolnej formie – gotówka, bitcoiny, wg życzenia) za przekazanie informacji o systemach teleinformatycznych przedsiębiorstwa, metodach uwierzytelnienia, a także za zainstalowanie złośliwego oprogramowania i uruchomione go na dowolnym komputerze w sieci firmowej. Zaoferował, że dostarczy oprogramowanie na pendrive lub wyśle mail ze stosownym załącznikiem. Rosyjski turysta zapewniał, że grupa, którą reprezentuje realizowała już ataki według identycznego scenariusza, nigdy nie wykryto źródła „przecieku”, a w momencie instalacji złośliwego oprogramowania, przeprowadzony zostanie atak typu DDoS, który skutecznie zajmie pracowników IT i odwróci ich uwagę od „prawdziwego” ataku. Nic prostszego, jak włożyć pendrive i udać się na przerwę obiadową. W kolejnej rozmowie stawka wzrosła do miliona dolarów.
Pracownik Tesli nie dał się skusić i poszedł prosto do przełożonych, a ci powiadomili FBI. Następne spotkania z Kriuczkowem służyły zebraniu większej ilości informacji o planowanym cyberataku i zdobyciu wystarczającej ilości danych, by sformułować akt oskarżenia. Wkrótce Rosjanin został zatrzymany. Elon Musk chwalił się potem w mediach społecznościowych, że jego pracownicy są nieprzekupni. Takie wydarzenie spowodowało oczywiście szereg reakcji i dyskusji na różnych poziomach. Wydarzenie uświadomiło wielu zarządom przedsiębiorstw starą prawdę, że najsłabszym elementem każdego systemu bezpieczeństwa jest człowiek. Także w przypadku systemów teleinformatycznych, co powoduje, że w rozważaniach o cyberatakach i cyberbezpieczeństwie nie warto pomijać tzw. ochrony osobowej.
#OchronaIK #bezpieczeństwoIK #tesla #sześciopakIK #cyberbezpieczeństwo #insider #NPOIK
