24 stycznia 2019

Czy masz pewność, że systemy i aplikacje w Twojej firmie nie wysyłają Waszych tajnych dokumentów w świat?

Z doświadczenia wiemy, że wiele firm ma u siebie niewielkie systemy informatyczne lub proste zestawy aplikacji, które wspomagają pracę działów firmy. Z reguły dotyczy to działów administracyjnych i księgowych. Aplikacje te, mimo że mogą być toporne, to spełniają swoje zadanie. Problem w tym, że często nikt nie wie, jak działają i… czy są bezpieczne.

O jakich aplikacjach mowa? Z reguły są to skrypty lub makra stworzone w Excelu i Access, wspomagane językiem Visual Basic. I fascynujące w tym wszystkim jest to, że historia powstania tych aplikacji dla wszystkich firm jest praktycznie taka sama!

Skąd w firmach biorą się takie aplikacje?

Zaczyna się od tego, że dział firmy ma coraz więcej pracy, z którą zaczyna się nie wyrabiać. W efekcie ludzie są przytłoczeni mozolną pracą, ale muszą ją wykonywać. Okazuje się jednak, że w dziale pracuje jeden sprytny człowiek, który wie jak ułatwić sobie życie. Ten sprytny człowiek stworzył sobie arkusz w Excelu, dzięki któremu zautomatyzował pewne czynności i obliczenia, i usprawnił swoją pracę.

Niedługo potem wszyscy w dziale korzystali z jego dobroczynności, ale on nie osiadł na laurach i dalej usprawniał swoje dzieło. Po kilku latach zrobił się z tego system kilku lub kilkudziesięciu powiązanych ze sobą aplikacji, które działają na zasadzie: „tutaj wpisz, skopiuj i wyślij do Janka, on to wklei u siebie, przepisze wynik i prześle dalej…”

I na pierwszy rzut oka wszystko jest w porządku, bo w sprytny sposób i prawie zerowym kosztem praca działu została usprawniona. Problem pojawia się wtedy, gdy twórca systemu odchodzi z firmy – bo nikt nie wie jak zadbać o te aplikacje. I prawdopodobnie nikt nie wie, jak one działają.

I tutaj właśnie pojawia się duże ryzyko dla bezpieczeństwa danych w takiej firmie.

Czy takie aplikacje na pewno są bezpieczne?

Jakie mogą to być zagrożenia? No cóż, tutaj wyobraźnia wyznacza limit. Moglibyśmy wymieniać i wymieniać bez końca, jakie luki mogą kryć się w takich aplikacjach i w jaki sposób inni mogą wykorzystać je przeciwko firmie.

Zamiast tego, przytoczę jeden, ale za to dobitny przykład. I co ważniejsze – nie jest on wymyślony.

Pewna firma miała w swoim dziale taki właśnie system i jak zawsze, historia jego powstania była dokładnie taka sama, jaką przytoczyłem wyżej. System ten działał, lecz jego twórca już w firmie nie pracował. Z tego powodu nikt nie potrafił go rozbudować o nowe funkcje, nie mówiąc już o przeglądzie i bieżącej obsłudze. Więc wzięliśmy ten system pod lupę.

Zaczęliśmy standardowo – od rozmowy z klientem i użytkownikami systemu, aby poznać jego działanie w teorii. Z reguły etap ten daje nam bardzo ogólny pogląd na jego strukturę, ale… Już w jego trakcie zapaliła nam się czerwona lampka, gdy ze strony klienta padły słowa, że system przetwarza pliki .pfd na dokumenty tekstowe.

No dobrze, ale w jaki sposób to robi?

Klient nie wiedział. Nie mogąc tego tak zostawić, poprosiliśmy o dostęp do systemu, aby móc go sprawdzić na własną rękę. Zrozumienie całego procesu nie było trudne, wystarczyło prześledzić drogę dokumentu, od wprowadzenia go do systemu, do jego obróbki na dokument tekstowy.

I oczywiście dowiedzieliśmy się, w jaki sposób ta obróbka się odbywała. I co tu wiele mówić – sprawa była naprawdę nieciekawa.

Mały system – duże zagrożenie

To trochę ironiczne, że takie małe systemiki, z których korzystają pracownicy do wykonywania prostych, powtarzalnych czynności, mogą stanowić prawdziwe zagrożenie dla dobra firmy. A jednak tak jest. Dzieje się tak z wielu powodów, a najważniejszy z nich jest taki, że ludzie, którzy tworzyli te systemy, nie byli wykwalifikowanymi programistami. Każdy programista wie, jak ważne jest bezpieczeństwo danych i wie, w jaki sposób o nie zadbać. Tymczasem ciężko wymagać, aby pracownik administracyjny taką wiedzę posiadał. On i tak mocno ułatwił procesy w firmie, a że w trakcie tych usprawnień nie przemyślał wszystkich kwestii bezpieczeństwa? Trudno go za to winić.

Co więc działo się z tymi dokumentami .pdf, które miały zostać obrobione na pliki tekstowe?

System wysyłał je na NIEZABEZPIECZONY, zewnętrzny serwer, który oferuje darmową obróbkę takich plików! Czy to było sprytne rozwiązanie? Jak najbardziej, ale… zastanówmy się, jakie tworzy to ryzyko dla firmy. Czy chciałbyś, aby ktoś (na przykład duża, konkurencyjna firma) uzyskał dostęp do Waszych dokumentów takich jak:

  • Korespondencja z kancelarią prawną
  • Pisma od klientów (te często zawierają poufne dane, wliczając w to dane klienta, wyceny usług i inne warunki współpracy)
  • Dane ważnych pracowników
  • Korespondencja wewnętrzna
  • Umowy z dostawcami/klientami
  • Korespondencja z innymi podmiotami i urzędami państwowymi

Czy coś jeszcze? Wstaw tutaj dowolne dokumenty, których ujawnienie mogłoby w jakikolwiek sposób zagrozić Twojej firmie. Czy chciałbyś, aby bez niczyjej wiedzy lądowały one na niezabezpieczonym serwerze, którego właściciel może przechwytywać je bez problemu (i zgodnie z prawem!), a potem szantażować firmę lub sprzedać je do konkurencji?

Czy Twoje oprogramowanie jest bezpieczne?

Z oprogramowaniem nie ma żartów. Niejeden profesjonalny system informatyczny ma błędy i luki, które umożliwiają wyciek informacji, ale w przypadku takich amatorskich aplikacji… Twoja firma może wręcz krzyczeć do internetowych cwaniaków „Hej, to są nasze tajne dokumenty! Sami Ci je wysyłamy! Nie musisz się nawet do nas włamywać. Po prostu je weź i zrób z nimi, co tylko zechcesz!”

Dlatego zachęcam Cię do uważnego przyglądnięcia się oprogramowaniu, z jakiego korzystają działy Twojej firmy. Lepiej zapobiegać teraz niż później tracić miliony na bolesne i mało skuteczne leczenie. Jeśli nikt w Twojej firmie nie ma odpowiednich kompetencji, aby sprawdzić programy i systemy pod kątem bezpieczeństwa, warto wtedy skonsultować się z zewnętrzną firmą programistyczną.

A jeśli chcesz mieć pogląd na temat obsługi takich systemów i aplikacji, przeczytaj nasz artykuł, w którym dokładnie omawiamy ten temat. Kliknij -> „Obsługa aplikacji stworzonych w Excel, Access, Visual Basic. Jak zrobić to w optymalny sposób?”