Manažer bezpečnosti: Údajná loupež vylepšila ochranu

2. 5. 2007

Sdílet

Bývalý zaměstnanec si možná odnesl duševní vlastnictví firmy, ale nejsou o tom žádné záznamy: Nedávno jsem byl přizván ke schůzce s naším právním zástupcem a několika advokáty. Tématem schůzky byla domnělá loupež duševního vlastnictví firmy bývalým zaměstnancem. Vyšetřování bylo v plném proudu a oni ode mě potřebovali informace.

Bývalý zaměstnanec si možná odnesl duševní vlastnictví firmy, ale nejsou o tom žádné záznamy: Nedávno jsem byl přizván ke schůzce s naším právním zástupcem a několika advokáty. Tématem schůzky byla domnělá loupež duševního vlastnictví firmy bývalým zaměstnancem. Vyšetřování bylo v plném proudu a oni ode mě potřebovali informace.

Neznám všechny podrobnosti – jestli onen bývalý zaměstnanec stihl prodat dokumenty, které prý odcizil, nebo je použil nějakým jiným nedovoleným způsobem, nicméně tento incident byl pro mě skvělou příležitostí obhájit své požadavky na bezpečnostní opatření, která jsem měl zahrnout do nové aplikace.

Toto jsou údaje, která jsou mi známá. Onen zaměstnanec dal nedávno výpověď. Podle našeho právního zástupce se zaměstnanci podařilo těsně před opuštěním firmy převést stovky dokumentů týkajících se designu a zdrojových kódů pro jeden z našich stěžejních produktů na server mimo náš dosah. Seděl jsem v místnosti s právníky a pomáhal žalobci prokázat, že se zaměstnanec přilogoval k datovým zdrojům v určitém období, že inkriminovaná data převedl jinam, a že (a to bylo nejdůležitější) si uvědomoval, že nepostupuje v souladu s předpisy.

Záznam událostí

První část požadavku byla celkem jasně formulovaná, ale já bohužel nemám možnost poskytnout tolik informací, kolik bych chtěl. Byl jsem schopen zachytit okamžiky přihlášení se tohoto zaměstnance - použil totiž svůj token SecurID a VPN klient k tomu, aby se těsně před svým definitivním odchodem ze zaměstnání několikrát za sebou přihlásil do sítě. Problém tkví v tom, že aplikace, které obsahují zmíněné dokumenty a zdrojové kódy, nejsou nakonfigurovány tak, aby zaznamenaly aktivity jednotlivých uživatelů. Toto nastavení bylo deaktivováno, když se systém před šesti lety zaváděl. Jsme tak schopni doložit, že uživatel v určitém časovém rozmezí byl v naší síti, ale nemáme žádné záznamy, které by obsahovaly podrobnosti o jeho aktivitách na serverech nebo v aplikacích, které pracují s duševním vlastnictvím firmy.

Více štěstí jsem měl při odpovědi na otázku, zda byl domnělý zloděj oprávněn k přenosu těchto citlivých dat ven z firmy. Naše společnost uveřejnila rozsáhlá pravidla a směrnice týkající se klasifikace dat a zacházení s duševním vlastnictvím firmy. Je potřeba jen prokázat, že zaměstnanec tyto informace četl a že byl s nimi srozuměn.

Naštěstí naše firemní výukové centrum disponuje záznamy, které říkají, s jakým výsledkem jednotliví zaměstnanci prošli nebo dokončili různé on-line kurzy nebo povinná školení. Každým rokem musí zaměstnanci projít kontrolním testem v několika tematických oblastech. Jednou z nich je právě ochrana duševního vlastnictví a tam jsme s požadavkem o dodání tohoto typu důkazu uspěli. Zmíněný bývalý zaměstnanec dokončil on-line školení před třemi měsíci s uspokojivým výsledkem. Školení instruuje účastníky v tom, jak postupovat v situacích týkajících se přenosu citlivých informací ven z firmy bez povolení.

Jednou z obav však bylo, že podezřelý může argumentovat slovy, že data přenášel proto, aby mohl pracovat na zmíněných dokumentech z domova. Jeho nadřízený nám však řekl, že neměl povolení k tomu, aby mohl pracovat s těmito daty na svém počítači doma.
Bude zajímavé sledovat, zda bude vyšetřování nabouráno nedostatkem záznamů o přihlášení se do sítě (náš nový produkt - aplikace typu life-cycle management – už přitom bude spuštěna s plnou sadou logovacích nástrojů). Už dříve jsem se zmiňoval o tom, jak důležitá tahle aplikace pro nás bude. Naše společnost vyrábí hardware v cenových relacích od 30 tisíc až po 10 milionů dolarů. Naše produkty procházejí několikaletým vývojem a je k nim obrovské množství dokumentace, údajů o součástech a komponentách, soupisky materiálu, změnové příkazy a další.

 

bitcoin školení listopad 24


Bývalý zaměstnanec si možná odnesl duševní vlastnictví firmy, ale nejsou o tom žádné záznamy: Nedávno jsem byl přizván ke schůzce s naším právním zástupcem a několika advokáty. Tématem schůzky byla domnělá loupež duševního vlastnictví firmy bývalým zaměstnancem. Vyšetřování bylo v plném proudu a oni ode mě potřebovali informace.

Neznám všechny podrobnosti – jestli onen bývalý zaměstnanec stihl prodat dokumenty, které prý odcizil, nebo je použil nějakým jiným nedovoleným způsobem, nicméně tento incident byl pro mě skvělou příležitostí obhájit své požadavky na bezpečnostní opatření, která jsem měl zahrnout do nové aplikace.

Toto jsou údaje, která jsou mi známá. Onen zaměstnanec dal nedávno výpověď. Podle našeho právního zástupce se zaměstnanci podařilo těsně před opuštěním firmy převést stovky dokumentů týkajících se designu a zdrojových kódů pro jeden z našich stěžejních produktů na server mimo náš dosah. Seděl jsem v místnosti s právníky a pomáhal žalobci prokázat, že se zaměstnanec přilogoval k datovým zdrojům v určitém období, že inkriminovaná data převedl jinam, a že (a to bylo nejdůležitější) si uvědomoval, že nepostupuje v souladu s předpisy.

Záznam událostí

První část požadavku byla celkem jasně formulovaná, ale já bohužel nemám možnost poskytnout tolik informací, kolik bych chtěl. Byl jsem schopen zachytit okamžiky přihlášení se tohoto zaměstnance - použil totiž svůj token SecurID a VPN klient k tomu, aby se těsně před svým definitivním odchodem ze zaměstnání několikrát za sebou přihlásil do sítě. Problém tkví v tom, že aplikace, které obsahují zmíněné dokumenty a zdrojové kódy, nejsou nakonfigurovány tak, aby zaznamenaly aktivity jednotlivých uživatelů. Toto nastavení bylo deaktivováno, když se systém před šesti lety zaváděl. Jsme tak schopni doložit, že uživatel v určitém časovém rozmezí byl v naší síti, ale nemáme žádné záznamy, které by obsahovaly podrobnosti o jeho aktivitách na serverech nebo v aplikacích, které pracují s duševním vlastnictvím firmy.

Více štěstí jsem měl při odpovědi na otázku, zda byl domnělý zloděj oprávněn k přenosu těchto citlivých dat ven z firmy. Naše společnost uveřejnila rozsáhlá pravidla a směrnice týkající se klasifikace dat a zacházení s duševním vlastnictvím firmy. Je potřeba jen prokázat, že zaměstnanec tyto informace četl a že byl s nimi srozuměn.

Naštěstí naše firemní výukové centrum disponuje záznamy, které říkají, s jakým výsledkem jednotliví zaměstnanci prošli nebo dokončili různé on-line kurzy nebo povinná školení. Každým rokem musí zaměstnanci projít kontrolním testem v několika tematických oblastech. Jednou z nich je právě ochrana duševního vlastnictví a tam jsme s požadavkem o dodání tohoto typu důkazu uspěli. Zmíněný bývalý zaměstnanec dokončil on-line školení před třemi měsíci s uspokojivým výsledkem. Školení instruuje účastníky v tom, jak postupovat v situacích týkajících se přenosu citlivých informací ven z firmy bez povolení.

Jednou z obav však bylo, že podezřelý může argumentovat slovy, že data přenášel proto, aby mohl pracovat na zmíněných dokumentech z domova. Jeho nadřízený nám však řekl, že neměl povolení k tomu, aby mohl pracovat s těmito daty na svém počítači doma.
Bude zajímavé sledovat, zda bude vyšetřování nabouráno nedostatkem záznamů o přihlášení se do sítě (náš nový produkt - aplikace typu life-cycle management – už přitom bude spuštěna s plnou sadou logovacích nástrojů). Už dříve jsem se zmiňoval o tom, jak důležitá tahle aplikace pro nás bude. Naše společnost vyrábí hardware v cenových relacích od 30 tisíc až po 10 milionů dolarů. Naše produkty procházejí několikaletým vývojem a je k nim obrovské množství dokumentace, údajů o součástech a komponentách, soupisky materiálu, změnové příkazy a další.