Cyberbezpieczeństwo a inwigilacja. O granicy ochrony mówi Edyta Miaśkiewicz [Prawo na Oko #65]
W kolejnym odcinku podcastu Prawo na Oko o mniej oczywistej stronie cyberbezpieczeństwa opowiada Edyta Miaśkiewicz - prawniczka, certyfikowana Compliance Officer oraz ekspertka w zakresie cyberbezpieczeństwa i zarządzania ryzykiem technologicznym. W rozmowie pokazuje, gdzie firmy najczęściej się mylą, dlaczego granica między ochroną a ingerencją bywa tak cienka i co w praktyce decyduje o tym, czy system bezpieczeństwa naprawdę działa.
Między prywatnością pracownika a bezpieczeństwem przedsiębiorstwa - jak komunikować zasady pracy na sprzęcie służbowym?
Między prywatnością pracownika a bezpieczeństwem przedsiębiorstwa przebiega bardzo cienka granica i właśnie tam najłatwiej o nieporozumienie. To samo działanie dla pracownika może oznaczać kontrolę, podczas gdy dla organizacji jest próbą ograniczenia ryzyka. Dlatego kluczowe nie jest wyłącznie to, co wprowadzamy, ale przede wszystkim jak o tym mówimy. Od tego zależy, czy pojawi się niepotrzebny dystans… czy spokojne zrozumienie intencji.
Jak twierdzi rozmówczyni odcinka:
Kontrola bezpieczeństwa niemal zawsze wywołuje lekki bunt. Wynika to z dość powszechnego niezrozumienia tego, czym naprawdę jest cyberbezpieczeństwo - przez co wielu pracowników od razu zakłada, że oznacza ono inwigilację i że ktoś zacznie ich śledzić. Dlatego pierwszym krokiem powinno być uświadomienie zespołu, że nie chodzi o kontrolowanie człowieka, lecz o analizę zdarzeń - interesuje nas to, co dzieje się ze sprzętem i systemami, a nie życie prywatne pracowników.
Jak daleko powinien sięgać wgląd w ramach cyberbezpieczeństwa?
Zbyt szeroki dostęp do kontrolowania bardzo łatwo usprawiedliwić - w końcu chodzi o bezpieczeństwo. Problem w tym, że to cyberbezpieczeństwo nie polega na tym, żeby widzieć więcej, tylko żeby widzieć to, co naprawdę ma znaczenie. Gdy brakuje wyraźnych granic, cały system zaczyna się rozmywać i bardzo łatwo przejść od ochrony do nadmiernej ingerencji.
Dlatego Edyta Miaśkiewicz podkreśla:
Osoba nadzorująca powinna zadbać o właściwe rozdzielenie uprawnień wśród pracowników odpowiedzialnych za cyberbezpieczeństwo - nie muszą oni mieć dostępu do wszystkiego. Ich rola powinna koncentrować się na analizie alertów i reagowaniu na incydenty, a nie na monitorowaniu każdej aktywności użytkowników czy przeglądaniu całej korespondencji.
Incydent incydentowi nierówny...
Na pierwszy rzut oka wiele incydentów wygląda podobnie - podobne schematy, podobne błędy, podobne przyczyny. To może dawać złudne poczucie, że organizacja „już wie, co robić”. W rzeczywistości każdy przypadek zaczyna się od niepewności i to nie technologia, a ludzie oraz ich reakcje decydują o dalszym przebiegu wydarzeń. To właśnie moment pierwszej reakcji obnaża, czy procedury naprawdę działają, czy istnieją tylko na papierze.
Każdy incydent można uznać za najtrudniejszy, bo każdy jest inny i za każdym razem zaczyna się od tej samej niepewności - nie wiemy, jakie będą jego konsekwencje, więc musimy zakładać najgorszy scenariusz. Trudność rzadko leży w samej technologii, bo wiele incydentów jest do siebie podobnych. Prawdziwe wyzwanie zaczyna się w momencie reakcji: gdy zespół kryzysowy działa po raz pierwszy i trzeba sprawdzić, kto potrafi podejmować decyzje pod presją i skutecznie zarządzać sytuacją
zaznacza prawniczka.
Cyberbezpieczeństwo jako ochrona zasobów, nie monitoring ludzi
Na koniec rozmowy gościni zdradza jedną, bardzo konkretną wskazówkę dotyczącą tego, co wszystkie firmy powinny zmienić w swoim podejściu:
Najważniejsza jest świadomość, czym właściwie jest cyberbezpieczeństwo w miejscu pracy - zrozumienie, że mówimy o zamku do drzwi i alarmie, a nie o stróżu, który ma siedzieć i dokładnie obserwować, co robimy.
