Oricat ar investi o companie in securitatea informatica si indiferent cat de sofisticate ar fi masurile adoptate pentru a proteja informatiile confidentiale, o amenintare pare sa ramana fara solutie: inamicul din interior.

Nu se poate sa nu fi remarcat vreodata cu cate gadget-uri este "dotat" un businessman. In general este vorba despre cel putin un telefon mobil inteligent, un laptop, un PDA (asistent personal digital) si  cine stie ce alte "jucarii" de care are nevoie pentru a-si conduce afacerea.

Numai ca, pe masura ce birourile (si buzunarele) oamenilor de afaceri sunt tot mai ticsite de gadget-uri portabile menite sa le simplifice munca, informatiile detinute de companii sunt tot mai expuse, riscand sa ajunga in mainile concurentei.

Observatia apartine specialistilor in securitate, care sustin ca departamentele IT ale companiilor sunt foarte rar pregatite pentru a rezolva o problema atat de complexa. De ce complexa? Pentru ca, in cele mai multe cazuri, restrictionarea accesului angajatilor la gadget-uri (de teama scurgerii de informatii) inseamna automat scaderea eficientei lor si a productivitatii companiei. Cifrele nu sunt deloc incurajatoare: 41% dintre specialistii americani in domeniul IT recunosc ca nu stiu cum pot proteja informatiile si datele companiei care sunt copiate pe echipamente portabile, conform unui studiu realizat de compania producatoare de software de securitate Pointsec Mobile Technologies.

Nu doar patronii sunt vizati ca posibile "gauri de securitate" pentru companii. Angajatii incep sa aduca la birou tot mai multe gadget-uri din colectia personala pentru a mari eficienta cu care lucreaza. Telefonul mobil ii ajuta sa pastreze mai usor legatura cu clientii sau cu persoanele cu care intra in permanenta in contact in scop de business, laptop-ul le ofera posibilitatea de a avea intotdeauna la indemana documentele legate de serviciu, iar PDA-ul le permite sa-si organizeze mai bine timpul.

Aceste gadget-uri, care dispun de o capacitate de stocare din ce in ce mai mare, pot memora un numar foarte mare de date, iar angajatii pot copia usor informatii confidentiale pe acestea, fara acordul companiei, si le pot folosi, cel putin teoretic, impotriva acesteia.  Spre exemplu, un angajat poate copia pe propriul laptop baza de clienti a companiei, pe care sa o vanda concurentei, sau poate prelua informatii legate de strategii si politici de marketing, pe care alte companii le pot folosi in interes propriu.

In general, informatiile confidentiale luate de pe calculatoarele unei companii si apoi facute publice pot afecta grav afacerea. Daca acestea intra in posesia rivalilor, firma pierde avantajul competitiv, iar reputatia sa poate avea de asemenea de suferit. Un exemplu concludent este situatia in care un angajat isi schimba locul de munca si considera ca are dreptul de a copia informatii, printre care si baza de clienti sau secretele comerciale ale companiei la care lucreaza, pentru a le preda viitorului sef. "Accesibilitatea echipamentelor electronice cu hard disk sau me-morie flash este principala diferenta fata de anii trecuti", a precizat Antony Smyth, partener al diviziei de securitate informatica a companiei de consultanta Ernst & Young. "In plus, capacitatea de memorare a crescut foarte mult de-a lungul timpului, utilizatorii avand in buzunar nu 32 MB ca acum cativa ani, ci zeci de GB."

De asemenea, metodele de a prelua informatii dintr-o companie s-au diversificat. Pe de-o parte, laptop-urile sau echipamentele de buzunar pot fi conectate wireless la reteaua companiei. Pe de alta parte, si playerele de muzica si stick-urile de memorie USB reprezinta o amenintare pentru ca trec neobservate si pot fi conectate usor la orice computer. Companiile reactioneaza mai greu la amenintarea cu furtul de informatii pentru ca schimbarea politicii de securitate se face destul de greu, presupune timp si investitii in plus. Cert este ca fenomenul avalansei de gadget-uri la birou nu poate fi oprit prin simpla interzicere a utilizarii acestor echipamente in companie, spun specialistii. "Foarte multi angajati sunt «prinsi» de noile gadget-uri si se grabesc sa le cumpere, uitand faptul ca datele cu care lucreaza zi de zi sunt mult mai importante decat echipamentul pe care sunt stocate", sustin unii analisti din piata.

Un amanunt care multora le scapa: un laptop obisnuit, odata intrat in uz, valoreaza infinit mai mult decat pretul sau din magazin, valoarea sa putand ajunge chiar la mai multe milioane de dolari datorita informatiilor, bazelor de date sau elementelor protejate prin proprietate intelectuala pe care le contine, conform unui studiu realizat de compania americana de securitate Symantec.

Continutul aflat pe un laptop de business este estimat in medie la peste 970.000 de dolari (aproximativ 800.000 de euro), sustin analistii Symantec. Insa exista si cazuri in care pe laptop sunt stocate baze de clienti ale companiilor sau alte informatii de mare importanta, confidentiale, care pot ridica valoarea laptop-ului pana la 8,8 milioane de dolari (7,3 milioane de euro), au mai spus acestia.

Asa ca, daca tineti date confidentiale ale companiei pe un echipament portabil, e bine sa incercati sa-i estimati valoarea inainte de a-l privi ca pe un obiect oarecare de la birou.

Cu toate acestea, nu toate companiile au grija de informatii si de laptop-urile unde sunt salvate. "Este alarmant faptul ca directorii executivi nu sunt destul de atenti cu laptop-urile unde au toate datele companiei, rezultate financiare si liste cu clienti", a spus Lindsey Armstrong, vicepresedinte in cadrul diviziilor din Europa si Africa ale Symantec. Exista insa si "pionieri" care au inceput deja sa ia masuri de aparare.

O metoda de protectie impotriva furtului de informatii la care ar putea apela o companie este achizitionarea propriilor echipamente portabile de buzunar pentru angajati, acestea avand instalate aplicatii software speciale si permitand companiei sa detina control asupra fluxului de informatii care pleaca din retea. Astfel, administratorii de sistem ai companiilor respective pot controla datele care sunt transferate pe acele echipamente si pot permite sau nu acest lucru.

Spre exemplu, o companie de asigurari de mici dimensiuni din Miami, Seitlin, a decis sa cumpere PDA-uri Palm Treo pentru aproximativ 30 din cei 250 de angajati, instaland pe aceste echipamente un software special, pentru a putea monitoriza traficul de date. Mai mult, in cazul in care unul dintre angajati pierde PDA-ul, compania are posibilitatea sa blocheze wireless echipamentul, astfel incat sa nu mai poata fi utilizat decat dupa introducerea unui cod, a explicat Ed Whipple, vicepresedinte al diviziei de tehnologie in cadrul companiei.

De asemenea, compania americana a ales sa stocheze informatiile confidentiale pe un site la care au acces doar angajatii proprii, acestia putand accesa baze de clienti sau alte date importante de pe PDA, de oriunde ar fi. Iar in cazul in care apar defectiuni tehnice si site-ul nu poate fi accesat, agentii companiei pot oricand suna la birou pentru a afla informatiile de care au nevoie, a mai spus Whipple. In cazul amenintarii venite din partea playerelor de muzica digitala, cum ar fi iPod-ul, camerele foto digitale sau stick-urile de memorie flash care pot fi purtate la setul de chei fara ca cineva sa le remarce prezenta, companiile ar putea opta fie pentru solutii care implica aplicatii software, fie pentru metode mai dure, cum ar fi blocarea fizica a porturilor USB, prin care se pot conecta la computer aceste echipamente. Evident, aceasta metoda ar impiedica inclusiv utilizarea in scopuri legitime a echipamentelor portabile pentru activitatile zilnice de la birou.

Cea mai buna metoda insa ar fi instalarea de programe software speciale prin care compania sa poata controla traficul de date pe diferite echipamente conectate la computer prin USB, urmand ca softul sa permita numai anumitor utilizatori sa copieze date pe memorii flash sau PDA-uri la birou, sunt de parere unii analisti citati de presa internationala. Sygate este o astfel de aplicatie software, dezvoltata de americanii de la Centennial Software, pe care companiile o pot instala pe un server pentru a permite utilizarea porturilor USB numai angajatilor care au intr-adevar nevoie si care utilizeaza acele informatii numai in scop de serviciu, au precizat oficialii companiei.

Daca un angajat isi propune sa fure informatii confidentiale ale companiei unde lucreaza, ar putea avea si surprize neplacute, avand in vedere ca nici playerele sau memoriile USB nu sunt ferite de virusi. Astfel, in timp ce copiaza o baza de date a companiei, ar putea copia si un virus care sa-i infecteze mai apoi si computerul si reteaua unde va duce informatiile.

Nu ca acest risc ar conta intotdeauna, avand in vedere valoarea informatiilor care pot fi obtinute astfel. Riscurile la care se expun - inclusiv acela de a fi prins asupra faptului - nu-i impiedica insa prea mult pe "hotii" de informatii. "Playerele iPod au devenit principala metoda prin care se copiaza ilegal anumite informatii confidentiale", a explicat Tracy Stretton, consultant in cadrul companiei Kroll Ontrack, specializate pe recuperarea de date pierdute sau furate. "Sunt foarte mici si pot memora in doar cateva secunde o multime de informatii", a adaugat ea.

Timpul in care poate fi ascultata o singura melodie este de obicei suficient pentru a copia, spre exemplu, baza de clienti a companiei sau orice alta informatie confidentiala aflata in reteaua de computere.

Un studiu recent cu privire la utilizarea echipamentelor portabile pe care se pot copia informatii, realizat in cadrul a 259 de companii britanice, a demonstrat ca 70% dintre acestea permit angajatilor sa vina cu iPod-ul sau cu memorii USB la birou. In schimb, numai 51% dintre acestea si-au luat masuri de precautie pentru ca angajatii sa nu poata copia, fara permisiune, informatii confidentiale, au precizat analistii de la Centennial Software, compania care a realizat studiul.

Marile companii, si in special agentiile guvernamentale, companiile din domeniul financiar sau cele de relatii cu clientii, sunt printre primele care incep sa realizeze cat de mare este riscul de a permite angajatilor sa vina cu astfel de echipamente la birou si incep sa ia masuri. Insa multe companii nu vor sa ia masuri mai drastice, cum ar fi interzicerea utilizarii gadget-urilor la birou sau blocarea porturilor USB, fiind dispuse sa infrunte riscul de teama de a nu scadea eficienta angajatilor si deci profitabilitatea firmei.

Practic, se pune problema gasirii unui echilibru intre bunul mers al activitatii si riscurile de pierdere a informatiilor confidentiale ale respectivei companii.

Companiile trebuie totusi sa ia in considerare si o alta varianta: unii angajati de top au nevoie sa acceseze datele oriunde si oricand, si deci nu pot fi luate masuri impotriva lor. Insa nu e exclus ca acestia sa piarda la un moment dat echipamentele portabile, informatiile riscand sa ajunga in mana cui nu trebuie. Nu trebuie subestimata niciodata "abilitatea" utilizatorilor de a uita pe undeva un gadget, indiferent de valoarea acestuia, spun specialistii. Numai in ultima jumatate a anului trecut, aproximativ 85.000 de telefoane mobile si 21.000 de computere portabile au fost uitate in taxiuri sau alte mijloace de transport din Chicago, conform unui studiu realizat de Pointsec Mobile Technologies. Iar in taxiurile din Marea Britanie, 10.000 de clienti isi uita laptop-urile pe bancheta din spate in fiecare an, a avertizat Lindsey Armstrong, vicepresedinte in cadrul diviziilor din Europa si Africa ale Symantec.

Specialistii in securitate lucreaza de zor, dar, cel putin deocamdata, se pare ca "inamicul din interior" ramane cea mai mare problema pentru securitatea datelor de business, fie ca actioneaza cu intentie sau doar din neatentie.