Jak chronić informacje: oznaczanie dokumentów elektronicznych znakiem wodnym POUFNE

To bardzo niemiłe uczucie, gdy wiesz, że Twoja baza danych znajduje się na serwerze konkurenta. Sytuacja jest jeszcze gorsza, gdy nie wiesz, jak to udowodnić. Prosty plik Word lub Excel może zawierać całą historię Twojej firmy. Co sprzedajesz, komu i za ile. Historię transakcji, ceny, marże, upusty, i tak dalej. Do tego dochodzą skany umów, raporty, zestawienia, informacje techniczne.

Jak pokazuje praktyka, pracownicy bardzo często zabierają ze sobą pliki z wartościowymi informacjami. Zdarza się, że wgrywają je do służbowego komputera lub nawet na serwer nowego pracodawcy.

Uchronienie się przed zabraniem plików przez odchodzącego pracownika jest praktycznie niemożliwe. Pliki te krążą pomiędzy komputerami pracowników, są przesyłane na ich laptopy, kopiowane na pendrive, wysyłane mailem. Odchodzący pracownik bardzo łatwo może skopiować gigabajty, a nawet terabajty danych. Przykład takiej sprawy w Polsce możesz znaleźć tutaj, a w Stanach zjednoczonych tutaj.

Były pracownik wie, że te dane są Twoją tajemnicą przedsiębiorstwa. Na sto procent jednak powie, że nie miał pojęcia, że jakieś informacje w firmie były poufne. Nikt mu tego nie powiedział, a przecież nie ma obowiązku się domyślać. To pracodawca powinien był, jeżeli chciał mieć tajemnicę przedsiębiorstwa, powiadomić go o tym. Trzeba było mówić.

Również nowy pracodawca powie, że nie miał pojęcia, iż jego pracownik wgrał na serwer historię transakcji konkurenta. Bo niby skąd miał to wiedzieć. Wszyscy w to wierzymy, prawda?

Jak zatem zetrzeć im z twarzy ten uśmiech?

Tajemnica przedsiębiorstwa nie jest prawem, które powstaje samo z siebie, tylko dlatego, że masz wartościowe, nieujawnione do wiadomości publicznej informacje. Takie informacje mogą stanowić tajemnicę przedsiębiorstwa tylko wówczas, gdy podejmiesz racjonalne działania w celu zachowania ich poufności. Działania te określane są stanem relatywnej tajemnicy. Więcej na ten temat możesz przeczytać w innym wpisie.

Dobrym sposobem na powiadomienie każdej osoby, która otworzy plik Word lub Excel, że zawiera on naszą tajemnicę przedsiębiorstwa, jest umieszczenie w nim znaku wodnego oraz zrobienie nagłówka lub stopki z odpowiednią informacją. Jest to pomocne także w razie utraty sprzętu lub przenośnego dysku. Wiadomo, że takie sytuacje nie powinny mieć miejsca, ale się zdarzają.

Możesz zapytać, po co tyle zachodu, skoro nagłówek i znak wodny można usunąć? Otóż po to, by w razie incydentu móc powiedzieć, że podjąłeś racjonalne działania w celu zachowania poufności informacji. W zasadzie relatywnej tajemnicy nie chodzi o to, by coś było objęte absolutną, niemal grobową tajemnicą. Chodzi o to, by stworzyć takie bariery, by osoby trzecie musiały doprowadzić do wyeliminowania mechanizmów zabezpieczających przed niekontrolowanym wypływem danych. Samo usunięcie znaku wodnego jest wyeliminowaniem mechanizmu zabezpieczającego.

Trzeba również uwzględnić to, że gdy były pracownik skopiuje tysiące plików, to nie będzie mu się chciało, ani nie będzie miał możliwości, usuwać znaku wodnego z każdego pliku.

Jest jeszcze jeden istotny aspekt. Przytłaczająca część firm działa i chce działać zgodnie z prawem, lecz nie jest przygotowana na pomysłowość nowych pracowników. Bardzo często zdarza się, że nowy pracodawca rzeczywiście nie wie o tym, że takie pliki znajdują się w jego systemie informatycznym. Nie ma odpowiednich procedur zabezpieczających przed wykorzystywaniem cudzych tajemnic przedsiębiorstwa. W ten sposób ułatwiamy mu to zadanie.

Sobie natomiast załatwiamy to, że w razie zajęcia komputerów przez prokuraturę będziemy mogli udowodnić fakt posiadania, a zapewne też fakt wykorzystania, naszej tajemnicy przedsiębiorstwa. Poniżej znajdziesz instrukcję wstawiania znaku wodnego.

Znak wodny „POUFNE”, „TAJEMNICA PRZEDSIĘBIORSTWA”

Microsoft Word, poza możliwością wstawienia nagłówka i stopki, daje możliwość wstawienia znaku wodnego w poprzek całego dokumentu. Znak wodny jest widoczny zarówno na monitorze, jak i na wydruku. Nie da się go nie zauważyć.

Warto wdrożyć to jako standardową procedurę. W razie wycieku danych oraz w razie sporu taki znak wodny będzie bezcenny. Oczywiście powinna to być jedna z Twoich procedur ochrony informacji.

Jak to zrobić w Wordzie możesz przeczytać na stronie pomocy Microsoft:

Wstawianie lub zmienianie znaku wodnego.

[FM_form id=”4″]

Jeżeli uważasz, że ten artykuł przyda się komuś, prześlij go proszę dalej, korzystając na przykład z poniższych przycisków. Zależy mi, by jak najwięcej osób go przeczytało.

12.500 zł grzywny za bezprawne logowanie się do systemu informatycznego i wykorzystanie cudzej tajemnicy przedsiębiorstwa

Zapraszam do zapoznania z bardzo ciekawą sprawą, w której były pracownik bezprawnie uzyskał dostęp do systemu informatycznego byłego pracodawcy, a następnie wykorzystał tajemnice przedsiębiorstwa, z którymi się w ten sposób zapoznał.

Sprawa jest interesująca przede wszystkim dlatego, że w bardzo prosty sposób pokazuje, jak działa odpowiedzialność karna za naruszenie tajemnicy przedsiębiorstwa.

Można wręcz powiedzieć, że jest to sprawa modelowa. (więcej…)

Tajemnica przedsiębiorstwa i przestępstwa komputerowe

Tajemnica przedsiębiorstwa i przestępstwa komputerowe

Online Security TechnologyBezprawny dostęp do systemu informatycznego

Żyjemy w erze informatycznej i zdecydowana większość informacji przetwarzana jest za pomocą komputerów. Stąd naruszenie tajemnicy przedsiębiorstwa, a zwłaszcza jej pozyskanie, często następuje przy wykorzystaniu komputerów oraz systemów informatycznych.

Skoro wszyscy korzystamy z komputerów, to warto wiedzieć, kiedy można popełnić przestępstwo komputerowe. Ta wiedza może być dla wielu bardzo zaskakująca.

Wystarczy wspomnieć, że przestępstwem jest nie tylko pozyskanie informacji bez zgody i wiedzy uprawnionego poprzez przełamanie lub ominięcie zabezpieczeń, co wydaje się dosyć oczywiste, ale również sam dostęp bez uprawnienia do systemu informatycznego.

Na swój sposób zabawne jest to, że wspomniane przestępstwa komputerowe zostały uregulowane w tym samym artykule Kodeksu karnego, na podstawie którego odpowiadają słynni ostatnio kelnerzy z pewnej restauracji w Warszawie, w której można zamówić ośmiorniczki. Takie ryzyko zawodowe. Ale do rzeczy, to znaczy wprost, że się tak wyrażę.

Przestępstw komputerowych jest wiele, dzisiaj chciałbym przybliżyć Ci przestępstwo polegające na uzyskaniu bez uprawnienia dostępu do systemu informatycznego. Zgodnie z przepisem art. 267 § 2 k.k. przestępstwo to zagrożone jest karą grzywny, karą ograniczenia wolności albo pozbawienia wolności do lat 2. Można je popełnić tylko z winy umyślnej i jest ono ścigane na wniosek pokrzywdzonego.

Pracownik hakerem?

Przepis stanowi, że przestępstwo popełnia ten, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego (art. 267 § 2 k.k.).

Wbrew temu, co w tej chwili myślisz, wcale nie chodzi tu o ataki hakerskie. To znaczy chodzi, ale nie tylko. Najczęściej chodzi o dostęp do systemu informatycznego po wygaśnięciu uprawnień lub bez uprawnień.

Do popełnienia tego przestępstwa nie jest wymagane złamanie jakichkolwiek zabezpieczeń. I co najważniejsze, by popełnić to przestępstwo nie trzeba zapoznać się z informacją zawartą w systemie. Wystarczy bezprawne uzyskanie dostępu do systemu informatycznego, czyli samo zalogowanie się.

Jakie to mogą być sytuacje?

Przykładowo można wskazać następujące sytuacje, w których dochodzi do popełnienia tego przestępstwa:

  • zalogowanie się do systemu informatycznego pracodawcy po ustaniu stosunku pracy, albo nawet wcześniej, ale już po uzyskaniu informacji o utracie uprawnień dostępu. Fakt, że pracodawca nie zablokował loginu i hasła nie oznacza, że można z nich korzystać.
  • wykorzystanie loginu i hasła kolegi lub koleżanki z pracy, przy czym nie ma tu znaczenia, czy login i hasło zostały przekazane dobrowolnie, uzyskane podstępem albo tylko zapamiętane. Ważne, że zostały wykorzystane bez uprawnień.

Jak więc widzisz, nie trzeba być hakerem, by popełnić typowo hakerskie przestępstwo komputerowe.

Zapraszam do zapoznania się z następnym wpisem, w którym przedstawię wyrok w takiej właśnie sprawie.

Krótka refleksja dotycząca spraw karnych

Przestępstwa dotyczące naruszenia informacji biznesowych nie stanowią, delikatnie mówiąc, priorytetu dla wymiaru sprawiedliwości. Są to przestępstwa niszowe i tak są traktowane.

Wpadają do jednego worka z takimi przestępstwami, jak wyłudzenie kredytu czy odszkodowania, doprowadzenie do niekorzystnego rozporządzenia mieniem, wyłudzenie zwrotu podatku, nielegalna produkcja i sprzedaż alkoholu lub papierosów, i tak dalej. Giną w tłumie wszystkich innych spraw, jakimi zajmuje się wydział policji do walki z przestępczością gospodarczą.

Są na tyle niepopularne, że pewien bardzo sympatyczny policjant z wydziału do spraw walki z przestępczością gospodarczą z dużego miasta, kiedyś wojewódzkiego, posiadający kilkunastoletnie doświadczenie w tym wydziale, stwierdził, że jest to druga tego typu sprawa, z jaką spotkał się w swojej karierze. Dziwna. Na wszelki wypadek umorzył postępowanie.

Dla policji i prokuratury te sprawy, w porównaniu z innymi, wydają się mało ważne. Najczęściej można usłyszeć między wierszami: Jakie tam znowu przestępstwo. To sprawa pracownicza, idźcie sobie z tym do sądu pracy. Policja i prokuratura nie są od załatwiania sporów z pracownikami. Poza tym, co takiego się znowu stało.

Dlaczego tak się dzieje?

Prawdopodobnie dlatego, że społeczne skutki naruszenia tajemnicy przedsiębiorstwa są niedoceniane i trudno zauważalne. Przynajmniej na pierwszy rzut oka. Żeby je zobaczyć, trzeba się dokładnie przyjrzeć.

Jeżeli ktoś wyłudzi kredyt na milion złotych, to szkoda wynosi milion złotych. Jeżeli ktoś ukradnie samochód za sto tysięcy złotych, to szkoda wynosi sto tysięcy złotych. Jeżeli ktoś kupi naczepę stali bez zamiaru zapłaty, to szkoda też jest oczywista. I tak dalej. Są konkrety. Podejrzani. Wiadomo, co robić.

Przy wykorzystaniu tajemnicy przedsiębiorstwa sam fakt popełnienia przestępstwa oraz jego skutki zazwyczaj nie są łatwo widoczne. Szkoda ujawnia się jakiś czas później, kiedy firma musi obniżać ceny swoich produktów, odnotowuje mniejsze zyski, ponosi straty, ogranicza zatrudnienie, zwalnia wieloletnich pracowników.

Negatywne konsekwencje dotykają nie tylko przedsiębiorcę, ale również jego pracowników, którzy zaczynają mniej zarabiać lub tracą pracę, kontrahentów, podwykonawców, zleceniobiorców. Konsekwencje ponosi całe otoczenie przedsiębiorcy. Ostatecznie również podatnicy, z których podatków pochodzą zasiłki dla bezrobotnych.

Tak więc to nie jest zwykła sprawa pracownicza.

To nie jest spór między pracodawcą a pracownikiem. W grę wchodzi coś dużo większego.

Tak długo, jak sądy, prokuratura i policja nie zauważą, że wykorzystanie przez byłego pracownika tajemnicy przedsiębiorstwa pracodawcy jest bardziej szkodliwe, niż kradzież pieniędzy z rachunku bankowego, kradzież wszystkich samochodów z parkingu firmowego, czy nawet podpalenie fabryki, tak długo spotykać będziemy się z szybkimi postanowieniami o umorzeniu postępowań karnych.

Dobra wiadomość jest taka, że wymiarowi sprawiedliwości można pomóc. Trzeba dobrze opisać sposób naruszenia, negatywne konsekwencje, środki dowodowe i szkodę, a także wyjaśniać wątpliwości. Jeżeli to nie pomoże, zawsze można złożyć zażalenie na postanowienie o umorzeniu postępowania. Sądy często uchylają takie postanowienia i przekazują sprawę do ponownego rozpoznania.

Po prostu trzeba sprawą się zająć. Sam wniosek o ściganie nie wystarczy.

[FM_form id=”4″]

Stopczyk, co wy tam palicie? Czyli usunięcie danych przez pracownika.

Stopczyk, co wy tam palicie? Czyli usunięcie danych przez pracownika.

Usunięcie danych przez pracownika, który odchodzi z firmy to poważny i często spotykany problem. Zawsze gdy o tym słyszę, przypomina mi się moja ulubiona scena w filmie Psy. Na pewno ją znasz.

Stopczyk, co wy tam palicie? Ja, Radomskie, ale jak pan major woli, to Franz ma Camele.

Klasyka. Tylko że dzisiaj zamiast ogniska na wysypisku śmieci mamy komputer, który pracownik może nam wyczyścić. Bez dymu, kilkoma pociągnięciami myszki. Dzieje się to zazwyczaj w ostatnim dniu w pracy. Wówczas niektórym puszczają hamulce. Motywy tego działania są zresztą różne. Czasami pracownik chce ukryć swoje konkurencyjne lub nielegalne działania, a czasami po prostu chce zaszkodzić pracodawcy. Niezależnie jednak od przyczyn, szkody zazwyczaj są poważne. (więcej…)

Cyberprzestępczość w branży turystycznej

Cyberprzestępczość w branży turystycznej

Breaking News Screen over red backgroundNaruszenie tajemnicy przedsiębiorstwa często wiąże się z popełnieniem przestępstwa komputerowego. Jest to zrozumiałe, biorąc pod uwagę fakt, że większość wartościowych informacji przechowywanych jest w systemach informatycznych.

Poniżej opisuję sprawę dotyczącą branży turystycznej, chociaż w codziennym życiu taka sytuacja przytrafia się firmom działającym w każdej branży. Firmy turystyczne, podobnie jak firmy działające w branży pośrednictwa finansowego i ubezpieczeniowego, należą jedynie do grupy podwyższonego ryzyka. (więcej…)