Οι πληροφοριακοί πόροι της επιχείρησης είναι στη διάθεσή μας για τους σκοπούς της εργασίας μας. Πόσο όμως νομιμοποιούμαστε να χρησιμοποιούμε το internet ή το email για προσωπικούς λόγους; Πού εξαντλούνται τα όρια της νομιμότητας και αρχίζει η παραβίαση των κανόνων; Η απάντηση στο ερώτημα αυτό βασίζεται στη σχέση εμπιστοσύνης που αναπτύσσεται μεταξύ της εταιρείας και των εργαζομένων.
Συχνά, στο διεθνή κυρίως τύπο, εμφανίζονται ενδιαφέρουσες υποθέσεις που αφορούν σε απάτες σε βάρος του κοινού, όπως κλοπή στοιχείων πιστωτικών καρτών και προσωπικών δεδομένων, αποκάλυψη κρίσιμων πληροφοριών κλπ.
Όλες αυτές οι απάτες έχουν έναν κοινό παρονομαστή:
Έγιναν από εργαζόμενους των εταιρειών που είχαν πρόσβαση στα στοιχεία αυτά και απέβλεπαν στο κέρδος. Σε μερικές μάλιστα περιπτώσεις το κέρδος δεν ήταν καθόλου ασήμαντο, μιας και πούλησαν τα στοιχεία των πιστωτικών καρτών προς 60 δολάρια το κομμάτι ή κέρδισαν πολλά εκατομμύρια δολάρια «πειράζοντας» το πρόγραμμα διεξαγωγής στοιχημάτων σε ιπποδρομίες, δίνοντας έτσι τη δυνατότητα στους συνεργούς τους να ποντάρουν σε πλαστές ιπποδρομίες και να κερδίζουν.
Τέτοιες ζουμερές ιστορίες δίνουν χρώμα στην καθημερινότητα των υπεύθυνων ασφάλειας πληροφορικής και προβληματίζουν τις Διοικήσεις όταν έρθει η συζήτηση σε κόστη και προϋπολογισμούς. Σήμερα όμως δεν θα αναφερθούμε σε κραυγαλέες υποθέσεις απάτης που «πουλάνε» στα μέσα ενημέρωσης, αλλά σε ασήμαντες παραβιάσεις που διαπράττουμε λίγο πολύ όλοι μας σε βάρος των συστημάτων πληροφορικής των εταιρειών μας και που περνούν απαρατήρητες.
Οπωσδήποτε δεν φιλοδοξούμε να αποσαφηνίσουμε τα ούτως ή άλλως δυσδιάκριτα όρια μεταξύ σωστού και λάθους, αλλά να δώσουμε το έναυσμα για σκέψεις και συζητήσεις που μπορεί να μας βοηθήσουν στη δημιουργία ενός ασφαλούς όσο και φιλικού εργασιακού περιβάλλοντος.
Εγκλήματα και Πλημμελήματα
Ας πάρουμε ως παράδειγμα τη χρήση του internet της εταιρείας για μη επαγγελματικούς λόγους. Δεν μιλάμε για επισκέψεις σε πορνογραφικές ιστοσελίδες ή τρομοκρατικά sites, αλλά για να τσεκάρουμε την ώρα έναρξης της αποψινής ταινίας ή τις τιμές των αεροπορικών εισιτηρίων. Φτάνουμε στο σημείο να χρησιμοποιούμε τον εκτυπωτή του γραφείου για να τυπώνουμε προσωπικές επιστολές ή το email για να ανταλλάσσουμε μηνύματα με τους φίλους μας! Και όλα αυτά κάτω από τη μύτη του Διευθυντή! Πάει, χάλασε ο κόσμος!
Εντάξει, δεν είμαστε και εγκληματίες, αλλά στην πραγματικότητα χρησιμοποιούμε τους πόρους της εταιρείας μας για προσωπικό όφελος, όπως έκαναν και οι προαναφερόμενοι – σε άλλη κλίμακα βέβαια. Πού λοιπόν τραβάμε τη γραμμή; Ανεξάρτητα από το ενδιαφέρον ηθικό δίλημμα υπάρχει πραγματικός πονοκέφαλος για τους υπεύθυνους ασφάλειας οι οποίοι πρέπει να αποφασίσουν για το εύρος των δραστηριοτήτων που πρέπει να επιβλέπουν και να το εντάξουν στο συνολικό πλαίσιο ασφάλειας.
Πού χαράζουμε τα σύνορα;
Κάθε πολιτική που καθορίζει τα όρια της επιτρεπτής χρήσης των συστημάτων αναφέρει ότι οι πόροι της εταιρείας πρέπει να χρησιμοποιούνται αποκλειστικά για το σκοπό της εργασίας. Είναι φανερό όμως ότι τέτοιες δηλώσεις χρησιμεύουν ως καλοπλεγμένο δίχτυ, το οποίο θα πιάσει όσους επισκέπτονται παράνομες ιστοσελίδες ή κάνουν άλλες καθαρά αθέμιτες δραστηριότητες. Ας μη μείνουμε όμως μόνο σε ό,τι επιτρέπεται επίσημα. Μολονότι υπάρχουν εταιρείες που εννοούν ό,τι λένε, η χρήση του internet για αναζήτηση ειδήσεων σε blogs ή portals, η αποστολή email με τις φωτογραφίες των διακοπών, η εκτύπωση προσωπικών επιστολών κλπ. είναι δραστηριότητες ευρέως διαδομένες μεταξύ των εργαζομένων και η γενική εντύπωση γι’ αυτές είναι ότι, μακράν από το να θεωρηθούν παράνομες, είναι απόλυτα αποδεκτές.
Εδώ ακριβώς η ηθική συναντάει την τεχνολογία. Για παράδειγμα, οι διαχειριστές ασφάλειας έχουν τη δυνατότητα να χρησιμοποιήσουν φίλτρα για να απαγορεύσουν την πρόσβαση σε απαγορευμένες ιστοσελίδες ούτως ώστε να προστατέψουν την εταιρεία από προβλήματα, ενώ ταυτόχρονα να επιβάλουν τους κανόνες της πολιτικής στους απείθαρχους. Η απόφαση για το τι θα φιλτραριστεί είναι συνήθως του διαχειριστή ασφάλειας σε συνεργασία με άλλους φορείς, όπως το ανθρώπινο δυναμικό ή τη νομική υπηρεσία. Μήπως όμως μετά την απαγόρευση των προφανών sites επιτρέπεται η πρόσβαση de facto σε όσα παραμένουν; Συνεπώς, επιτρέπεται η χρήση όλων των συστημάτων της εταιρείας, εξαιρουμένων όσων απαγορεύεται γραπτώς; Τι μπορεί να γίνει ώστε να μη συμβαίνει αυτό;
Στο μυαλό μας είναι ξεκάθαρο ότι υπάρχουν όρια αλλά δεν είναι σαφές ποια είναι αυτά. Για λόγους πειθαρχίας και ασφάλειας ή ακόμα και φόβου για την τιμωρία, είναι δύσκολο για κάποιο να παραδεχτεί ότι τα αντιλαμβάνεται όταν τα δει.
Εντούτοις υπάρχουν μερικοί κατανοητοί κανόνες:
- Κλιμάκωση. Πράγματα που γίνονται σε μικρή κλίμακα δεν είναι αποδεκτά όταν γίνονται κατά κόρον. Θα μπορούσαμε για παράδειγμα να χρησιμοποιήσουμε το εταιρικό δίκτυο για να βοηθήσουμε το παιδί μας στη σχολική του εργασία, αλλά αν αυτό γίνει για όλη την τάξη θα ήταν υπερβολικό. Αλλά τι γίνεται στην περίπτωση που χρησιμοποιήσουμε το εταιρικό laptop από το σπίτι για τον ίδιο σκοπό; Εδώ μάλλον ο κανόνας της κλιμάκωσης δεν εφαρμόζεται.
- Αμοιβή. Ας πάμε το παράδειγμα της σχολικής εργασίας ένα βήμα μακρύτερα. Τι γίνεται στην περίπτωση που το γνωστό μας laptop χρησιμοποιηθεί όχι μόνο για τις εργασίες όλης της τάξης αλλά και για να εισπραχθεί αμοιβή από αυτές; Θα ήταν απαράδεκτο να χρησιμοποιηθούν οι πόροι της εταιρείας για να στηθεί άλλη «παράλληλη» επιχείρηση και ο κανόνας είναι ότι οι εργαζόμενοι δεν κερδίζουν χρήματα χρησιμοποιώντας περιουσία της εταιρείας.
- Περισπασμός. Ακόμα κι αν επιτρέπεται να βλέπουμε εξωτικούς προορισμούς ή τις κριτικές των ταινιών, αυτό δεν πρέπει να αποβαίνει εις βάρος της προγραμματισμένης εργασίας και να δημιουργούνται καθυστερήσεις και λάθη. Αυτό δεν αφορά μόνο στη χρήση του internet, όπως μπορεί να διαβεβαιώσει κάθε εθισμένος στην πασιέντζα.
- Δόλος. Είναι φανερό – ή τουλάχιστον θα έπρεπε – ότι οι εργαζόμενοι δεν επιτρέπεται να παραβιάζουν, να επιτίθενται, να καταστρέφουν ή να δυσφημούν άλλες οντότητες μέσω των συστημάτων της εταιρείας τους. Οι ενέργειες αυτές δεν είναι μόνο εκτός επιχειρηματικής δραστηριότητας, αλλά εκθέτουν την εταιρεία σε νομικές κυρώσεις.
Απώλειες και Κέρδη
Σημειώστε ότι το κοινό στοιχείο των παραπάνω κανόνων είναι η «πρόκληση βλάβης». Η χρήση των πόρων της εταιρείας απαγορεύεται στην περίπτωση που ένας τρίτος βλάπτεται ή η εταιρεία εκτίθεται ή αντιμετωπίζει απώλειες ή βρίσκεται σε δυσχερή θέση. Και φυσικά, πρέπει να ληφθούν υπόψη οι απώλειες λόγω μειωμένης αποδοτικότητας των εργαζομένων.
Υπάρχει όμως και η αντίθετη άποψη – οι παλιότεροι σίγουρα θα τη θυμούνται- η οποία υποστηρίζει ότι είναι καλό να χρησιμοποιούν οι εργαζόμενοι τους υπολογιστές της εταιρείας για να εξοικειώνονται με την τεχνολογία. Πρόκειται για βάσιμο συλλογισμό, ο οποίος την εποχή που οι υπολογιστές δεν ήταν ευρέως διαδομένοι και οι εργαζόμενοι τους αντιμετώπιζαν με φόβο και καχυποψία, είχε πολύ καλά αποτελέσματα.
Εντούτοις η εκτίμηση του βαθμού της ζημιάς δεν είναι τόσο απλή. Η χρήση του χρόνου – αν όχι των πόρων της εταιρείας – κατά τη διάρκεια της εργάσιμης ημέρας για προσωπικούς σκοπούς, σημαίνει ότι ο εργαζόμενος πληρώνεται για εργασία που δεν εκτελεί. Πότε όμως ο χρόνος αυτός θεωρείται υπερβολικός; Στην πραγματικότητα δεν πληρωνόμαστε με το λεπτό και συνήθως κερδίζουμε το χαμένο χρόνο μένοντας στην εργασία και μετά το πέρας του ωραρίου. Επιπλέον, ο σεβασμός της εταιρείας στις προσωπικές ανάγκες του εργαζόμενου βελτιώνει μάλλον παρά μειώνει την παραγωγικότητά του.
Υπάρχει βέβαια και ο αντίλογος, ο οποίος υποστηρίζει ότι η χρήση των πόρων της εταιρείας για προσωπικούς σκοπούς μπορεί να μειώσει την αποτελεσματικότητά τους. Αυτό αναδεικνύει ένα θέμα ασφάλειας το οποίο πολλοί θεωρούν δύσκολο να αντιμετωπιστεί. Τα πληροφοριακά συστήματα με την ευρεία έννοια έχουν εκ κατασκευής αρκετό περιθώριο επέκτασης των δυνατοτήτων τους και κανείς δεν ζημιώνεται αν οι εργαζόμενοι χρησιμοποιήσουν ένα μέρος αυτής. Τα δίκτυα συχνά μπορούν να διαχειριστούν πολύ μεγαλύτερη κυκλοφορία μηνυμάτων από αυτήν που δέχονται πραγματικά. Συγκεκριμένα προβλήματα – π.χ. chain letters – μπορούν να αντιμετωπιστούν σε ατομικό επίπεδο. Εννοείται ότι ακόμη και τα laptops δεν θα δουλεύουν 24 ώρες την ημέρα για σκοπούς της εταιρείας και κανείς δεν θα ζημιωθεί αν χρησιμοποιούνται για τις εργασίες των παιδιών.
Ούτε Γάτα ούτε Ζημιά!
Οι εταιρείες δεν χρεοκοπούν επειδή οι εργαζόμενοι σερφάρουν στο internet για το δελτίο καιρού και τις διακοπές τους ή εκτυπώνουν τη συνταγή μαγειρικής της ημέρας. Ούτε εκτίθενται όταν αυτοί ανοίγουν ένα αστείο email που κάνει το γύρο της εταιρείας. Όλοι αντιλαμβανόμαστε τα όρια ευθύνης μας, καθώς και τα γκρίζα σημεία των πολιτικών ασφάλειας. Γιατί, σε τελική ανάλυση η τήρηση της νομιμότητας και των ηθικών κανόνων είναι θέμα εμπιστοσύνης. Οι εργαζόμενοι που νόθευαν τα στοιχήματα ή πουλούσαν αριθμούς καρτών, δεν παραβίασαν το ίδιο το πληροφοριακό σύστημα αλλά την εμπιστοσύνη που τους είχε δείξει η επιχείρηση. Το σύστημα ελεγχόμενης πρόσβασης συνδέει τον εργαζόμενο με τους πόρους της εταιρείας, ανάλογα με τις εξουσιοδοτήσεις που δικαιολογεί η θέση του. Αν αυτοί χρησιμοποιούνται παράνομα, τότε έρχονται στο προσκήνιο άλλα μέτρα ασφάλειας: καταγραφή ενεργειών, καταμερισμός ευθυνών, έλεγχος από προϊστάμενο, πολιτική ασφάλειας.
Τελικά, μια ρεαλιστική πολιτική που αναφέρει τι πραγματικά επιτρέπεται και τι όχι, οδηγεί σε αποτελεσματικότερη ασφάλεια και επιτρέπει στους υπεύθυνους να επικεντρωθούν στους ουσιαστικούς κινδύνους και στις ζημιές που προκύπτουν σε περίπτωση παράνομης χρήσης των πόρων της εταιρείας.
Της Ελένης Σωτηρίου
CISA, CISM