(V. Snarskio pieš.)
Skaitmeninę informaciją paprasta laikyti, bet ir nuteka ji lengvai. Įmonėms reikia apsispręsti, ką iš tiesų verta saugoti paslaptyje ir kaip geriausia tai padaryti.
Vasario pradžioje „Hewlett-Packard“ pristatė naują planšetinį kompiuterį. Įmonė viliasi, kad jis bus „Apple“ gaminamo „iPad“ varžovas. Įvykis galėjo sukelti didesnį sujudimą, jei sausio viduryje nebūtų nutekėjusi informacija apie dizainą. Panašių keblumų pastaruoju metu patiria ir kitos technologijų įmonės. „Dell“ planšetinių kompiuterių pristatymo rinkai tvarkaraštis buvo paskelbtas technologijų naujienų svetainėje. Vaizdo plokštes gaminančios NVIDIA naujų gaminių planas irgi nutekėjo.
Paslaptį išsaugoti nesiseka ne tik kompiuterinių technologijų įmonėms. Sausį paaiškėjo, kad „Renault“ nušalino tris aukštus vadovus, neva kažkam atidavusius elektromobilių projektus (apkaltintieji tai neigia). Vienoje JAV radijo laidoje tvirtinta, kad senoje nuotraukoje iš laikraščio buvo rastas slaptojo „Coca-Colos“ komponento receptas. Viešumoje pasirodžius informacijai apie „Facebook“ finansus, niekais nuėjo šio socialinio tinklo organizacinio privatumo nuostatos. Paskelbtas strateginis AOL dokumentas atskleidė, kad šios interneto ir žiniasklaidos bendrovės žurnalistai per dieną turi parašyti 5–10 straipsnių.
Tuo tarpu Julianas Assange’as iš visų jėgų stengėsi bankininkus priversti paprakaituoti. Lapkritį „Wikileaks“ steigėjas pažadėjo 2011 metų pradžioje paskelbti daugybę nutekintos informacijos. Sakoma, kad jis turi standųjį diską iš buvusiam nepaminėto JAV banko vadovui priklausančio nešiojamojo kompiuterio, o dokumentai jame kur kas sultingesni nei gausi diplomatinė korespondencija, nutekinta iš Valstybės departamento. Jie atskleistų „korupcijos ekosistemą“ ir „sužlugdytų vieną kitą banką“.
„Manyčiau, tai nuostabu, – sausį kalbėjo J. Assange’as duodamas interviu televizijai. – Dabar per mus visi bankai muistosi galvodami, o gal tai apie juos.“ „Bank of America“, kuris, daugelio manymu, kaip tik turimas omenyje, pradėjo vidinį tyrimą. Ar nedingo joks nešiojamasis kompiuteris? Kas galėjo būti jo standžiajame diske? Kaip „Bank of America“ turėtų reaguoti, jei, tarkime, buvo nutekinti kompromituojantys elektroniniai laiškai?
Banko vadovai ir tyrėjai gali šiek tiek atsipalaiduoti. Neseniai pasirodė pranešimų, jog J. Assange’as privačiai pripažinęs, kad medžiaga galbūt atskleidžia mažiau, nei jis leido suprasti. Reikės finansų ekspertų, kad jie nustatytų, ar ten apskritai yra dėmesio vertos medžiagos.
Bet vis tiek „Wikileaks“ grasinimas ir nuolat nutekanti kita konfidencialia laikytina verslo informacija išryškino svarbią problemą. Įmonės sukuria vis daugiau skaitmeninės informacijos: nuo gaminių projektų iki darbuotojų elektroninių laiškų. Visą šią informaciją vis sunkiau susekti: ne tik dėl kiekio, bet ir dėl to, kad ją lengva laikyti ir siųsti. Jeigu nutekėtų išoriniam pasauliui, didžioji dalis tos informacijos nepadarytų reikšmingos žalos; dalis netgi galėtų būti naudinga. Bet yra informacijos, kuri praverstų konkurentams arba tiesiog įstumtų į keblią padėtį, taigi, ją būtina apsaugoti. Todėl įmonėms reikia nuspręsti, ką mėginti nuslėpti ir kaip tai geriausia apsaugoti.
Mėginimas išvengti informacijos nutekėjimo dėl darbuotojų kaltės arba atmušti kompiuterinius įsilaužėlius tiek ir tevertas. Galingos aplinkybės įmones spaudžia būti skaidresnes. Ilgą laiką buvusi it informacijos seifas, dėl technologijų įmonė vis panašesnė į sietą, negalintį sulaikyti visų duomenų. Be to, skaidrumas gali duoti didžiulės naudos. „Iš to turėsime daugiau atvirumo“, – prognozuoja duomenų saugumo žinovas Bruce’as Schneieris.
Buvo seifas, dabar sietas
Kol verslo informacija gyvavo tik popieriuje, kuriam į pagalbą apytikriai prieš 50 metų atėjo mikrofilmai, tvarkyti ir apsaugoti ją buvo kur kas lengviau nei šiandien. Ją klasifikavo buhalteriai ir archyvarai, o slapčiausius dokumentus dėdavo į seifą. Nukopijuoti buvo sunku: diplomatinę korespondenciją „Wikileaks“ neva išsiuntęs karys Bradley’s Manningas būtų užtrukęs – jei niekas nebūtų sugavęs – ne vienerius metus, kol būtų nufotografavęs arba slapta išnešęs visus 250 tūkst. dokumentų, kuriuos, kaip kalbama, jis atsisiuntė.
Įmonėse pasirodžius pirmiesiems kompiuteriams situacija ne itin pasikeitė. Iš esmės juos naudodavo apskaitai arba kitoms operacijoms, vadinamoms „struktūrine informacija“. Be to, jie buvo atskiros sistemos, prieinamos tik keliems žmonėms. Įprastą darbą ne itin pakeitė netgi XX a. devintajame dešimtmetyje pristatytos labiau decentralizuotos IT sistemos ir asmeniniai kompiuteriai. Iš pradžių kompiuteriai tebuvo naudojami kaip išliaupsintos rašomosios mašinėlės.
Tik atsiradus internetui ir organizaciniam jo broliui intranetui, informacija pradėjo judėti sparčiau. Darbuotojai gavo prieigą prie gausesnių duomenų, o elektroniniais laiškais galėjo susirašinėti su išoriniu pasauliu. Kompiuteriai tapo didžiulių „nestruktūrinės informacijos“ kiekių saugyklomis, pavyzdžiui, tekstinių failų ir pateikčių. Sklando gandai, kad J. Assange’o turimame bankininko standžiajame diske yra kelerius metus kaupti elektroniniai laiškai ir jų priedai.
Dabar vyksta dar svarbesnis pokytis. Kol kas IT biudžetą įmonės iš esmės skirdavo tam, ką Geoffrey’us Moore’as iš konsultantų bendrovės „TCG Advisors“ vadina „registracijos sistemomis“, kurios stebi įmonės pinigų, produktų ir žmonių srautus, o pastaruoju metu ir įmonės tiekėjų tinklą. Anot jo, nūnai įmonės vis dažniau investuoja į „sąveikos sistemas“. Jis turi omenyje įvairiausias technologijas, kurios suskaitmenina, paspartina ir automatizuoja įmonės sąveiką su išoriniu pasauliu.
Mobilieji prietaisai, vaizdo konferencijos ir internetiniai pokalbiai – tai ryškiausi tokių technologijų pavyzdžiai: jie leidžia bendrauti tiesiogiai. Bet, anot G. Moore’o, tai tik dalis visumos. Ne mažiau svarbūs ir vis gausesni naujų bendradarbiavimo formų įrankiai: darbuotojai drauge keičia internetinius dokumentus – vadinamuosius viki, naudodamos internetinių konferencijų paslaugas įmonės gali kartu su klientais kurti gaminius, o išmaniųjų telefonų programos įmonėms leidžia rinkti informaciją apie tai, kas žmonėms patinka ir nepatinka, taigi, sekti rinkos tendencijas.
Lengva suprasti, kad naudojant tokias paslaugas duomenų bus vis daugiau. Tai viena priežasčių, kodėl rinkos tyrimų įmonė IDC prognozuoja, kad „skaitmeninė visata“ – per metus sukuriamos ir padauginamos skaitmeninės informacijos kiekis – iki 2020 metų pasieks 35 zetabaitus, nors 2009-aisiais nesiekė 1 zetabaito (žr. grafiką). Vienas zetabaitas yra vienas trilijonas gigabaitų – atitinka 250 mlrd. DVD. Bet pradėjus naudoti tokius įrankius, įmonės sienos dar labiau prakiurs. „Wikileaks“ – tik problemos atspindys, rodantis, kad sukuriama ir gali nutekėti vis daugiau duomenų“, – sako organizacijos AIIM, kuri tobulina informacijos valdymą, prezidentas Johnas Mancini.
Yra dar du pokyčiai, dėl kurių skaitmeninėse įmonių ugniasienėse vis daugiau skylių. Vienas jų – užsakomosios paslaugos: rangovams dažnai reikia ryšio su klientų kompiuterinėmis sistemomis. Kita – pačių darbuotojų prietaisai. Ypač jaunesni darbuotojai, pripratę prie patogių plataus vartojimo technologijų, į darbą nori atsinešti savų prietaisų. „Jie nenori naudotis nuobodžiu įmonės „BlackBerry“, – aiškina J. Mancini.
Duomenys sunkiasi
Taigi iš įmonių prasisunkia vis daugiau duomenų, netgi tų, kurie turėtų būti gerai apsaugoti. Kai Ericas Johnsonas iš Dartmuto koledžo Tucko verslo mokyklos kartu su kolegomis pernai peržvelgė populiariausias failų dalijimosi svetaines, ten rado failų su sveikatos istorijomis, taip pat vardų, adresų ir gimimo datų. E. Johnsonas paaiškino, kad tokie duomenys dažniausiai nuteka ne iš piktos valios ar netgi ne dėl neatsargumo; tiesiog su verslo programomis dirbti nelengva, ypač medicinos sektoriuje. Idant su duomenimis dirbti būtų paprasčiau, darbuotojai juos dažnai perkelia į skaičiuokles ir kitokius failus, su kuriais lengviau dirbti. Bet ir nesukontroliuoti lengviau.
Nors informacija dažniausiai nuteka netyčia, daug nutekinama ir specialiai. Antai „Renault“ teigia tapusi pramoninio šnipinėjimo auka. Taip pat plačiai nuskambėjo vienas pasinaudojimo konfidencialiais duomenimis atvejis iš Jungtinių Valstijų: keli rizikos draudimo fondo vadovai kaltinami pasinaudoję duomenimis, kurie nutekėjo iš Taivanio puslaidininkių gamyklų, įskaitant skaičiuokles su užsakymais, iš kurių paaiškėjo su prekyba susiję klientų lūkesčiai.
Taigi nekeista, kad įmonės vis labiau jaučia primygtinį poreikį išvengti nutekėjimo. Spaudžia ne tik komercinė aplinka, bet ir įstatymai. Griežtesnės duomenų apsaugos ir kitos taisyklės verčia įmones informaciją stebėti atidžiau. Antai JAV Sveikatos draudimo duomenų perkėlimo ir apskaitos įstatymas įvedė asmeninių sveikatos istorijų apsaugos standartus. Vykstant teismo procesui, įmonės turi sugebėti teismui pateikti visą aktualią skaitmeninę informaciją. Nekeista, kad kai kurie vadovai elektroninį paštą įprato naudoti retai arba išvis nenaudoti. Tačiau visa įmonė negali išvengti skaitmeninės informacijos judėjimo.
Skyles užkamšyti įmonėms siūloma naudojant specialią programinę įrangą, pavyzdžiui, turinio valdymo sistemas. „Alfresco“, „EMC Documentum“ ir kitų bendrovių siūlomos programos įmonėms leidžia sekti ir klasifikuoti skaitmeninį turinį ir dalinti prieigas prie jo. Antai paprastas pardavėjas naujausių finansinių rezultatų nematys, kol jie nepaskelbti viešai, taigi negalės jų nusiųsti draugui.
Yra ir kitokios programinės įrangos – „duomenų praradimo prevencijos“ (DPP) sistemos. Šioje rinkoje geriausiai sekasi „Symantec“ ir „Websense“. Tokia programinė įranga įdiegiama įmonės tinklo pakraštyje ir tikrina išeinančius duomenis. Pastebėjusi slaptos informacijos, ji apie tai perspėja ir gali užblokuoti tvarką pažeidžiančius bitus. Tokia programinė įranga dažnai naudojama, kad iš įmonės neištrūktų socialinio draudimo ir kreditinių kortelių numeriai, o įmonė tenkintų Sveikatos draudimo duomenų perkėlimo ir apskaitos įstatymo bei panašių teisės aktų reikalavimus.
Trečioji rūšis, naujesnė už dvi minėtąsias, tai „tinklo ekspertizės“ sistemos. Siekiama stebėti viską, kas vyksta įmonės tinkle, ir taip pastebėti, kas nutekina duomenis. Anot įmonės naujokės „NetWitness“, jos programinė įranga registruoja visus skaitmeninius įvykius, o tuomet ieško įtartinų pasikartojančių struktūrų sukurdama „tikralaikį situacijos suvokimą“, kaip tai įvardijo įmonės apsaugos direktorius Edwardas Schwartzas.
Gausu egzotiškesnių būdų. Britų programinės įrangos gamintoja „Autonomy“ siūlo „perspėjamuosius varpus“: tinkle išplatinami netikri dokumentai, tarkime, specialiai sukurti elektroninių laiškų fragmentai. Kadangi jie netikri, niekas neturėtų jų gauti. Kam nors gavus prieigą prie jų, sistema apie tai perspėja; tai primena dėl įsilaužimo naktį suveikusi namo signalizacija.
Tokios programos atbaido dalį asmenų, linkusių nutekinti informaciją, o darbuotojus apsaugo nuo kvailysčių. Bet realybė retai tokia kaip skelbia rinkodara. Turinio valdymo programas sunku naudoti, ir jos retai įdiegiamos iki galo. Prieigos kontrolė pagal pareigas skamba gerai, bet praktiškai sunkiai pritaikoma. Įmonės dažnai tiksliai nežino, kam kokią prieigą skirti. O net jeigu žino, pareigos dažnai kinta. E. Johnsonas su kolegomis viename investiciniame banke atliko praktinį tyrimą ir nustatė, kad viename padalinyje su 3 tūkst. darbuotojų vos per kelis mėnesius įvyko tūkstantis organizacinių pokyčių.
Taip atsiranda, E. Johnsono žodžiais, „perdėtos privilegijos“. Idant galėtų dirbti, darbuotojams suteikiama teisė pasiekti daugiau informacijos nei jiems iš tiesų reikia. Minėtame investiciniame banke per daug privilegijų turėjo per 50 proc. darbuotojų. Prieigos teisė retai atšaukiama, taigi darbuotojai ilgainiui gali matyti vis daugiau. E. Johnsonui kai kuriose įmonėse pagal žmogaus turimas prieigos teises pavyko atspėti, kiek laiko jis dirba įmonėje. Bet E. Johnsonas pridūrė, kad prieigą pagal pareigas kontroliuojant per griežtai darbuotojai savo darbui gauna nepakankamai duomenų.
DPP irgi negarantuoja apsaugos nuo nutekėjimo: sistema nemato užšifruotų failų turinio, taigi duomenis slapta persiųsti galima juos pridengus. Tinklo ekspertizė, be abejo, gali parodyti, kas vyksta nedidelei grupei kuriant itin slaptą produktą. Tačiau sunku įsivaizduoti, kaip ji galėtų stebėti vis didesnius srautus, keliaujančius po didžiules verslo IT sistemas arba iš jų iškeliaujančius, tarkime, per paprastą atmintukę (ją pakanka prijungti prie kompiuterio, o joje telpančių duomenų kiekis prilygsta daugybei vaidybinių filmų). „Technologija problemos išspręsti negali, tik sumažinti netyčinių atvejų tikimybę“, – aiškina tinklo įrangos gamintojos „Cisco“ apsaugos direktorius Johnas Stewartas.
Kiti ekspertai pažymi, kad įmonės susiduria su vienu esminiu sunkumu. Rossas Andersonas iš Kembridžo universiteto tvirtina, kad, tvarkant didžiulius duomenų kiekius, kuriuos gali matyti daugybė žmonių, atsiranda įtampa. Jei sistema keletui žmonių leidžia daryti tik nesudėtingiausias operacijas, pavyzdžiui, patikrinti, ar yra reikiamas produktas, riziką valdyti įmanoma. Tačiau jei daugybė žmonių gali teikti bendras užklausas, sistema pasidaro nesaugi. Kaip tik toks atvejis yra „SIPRNet“, kurioje buvo laikoma JAV diplomatinė korespondencija, perduota „Wikileaks“: plačią prieigą prie jos turėjo keli šimtai tūkstančių žmonių.
Verslo pasaulyje kai kurios įmonės duomenų nutekėjimo kanalus mėgina apriboti darbuotojams neleisdamos į darbą neštis savo prietaisų, taip pat naudoti atmintukes arba kai kurias internetines paslaugas. Nors dabar įmonės galbūt leidžia daugiau, 2009 metais įdarbinimo agentūros „Robert Half Technology“ atlikta apklausa nustatė, kad JAV daugiau kaip pusė informacijos direktorių darbe neleisdavo jungtis prie tokių svetainių kaip „Facebook“.
Tačiau už tokį būdą tenka mokėti. Ir ne tik dėl to, kad įmonė dėl to mažiau patraukli „Facebook“ kartos jaunimui, kuris visur tamposi „iPhone“. „Daugiau atvirumo sukelia pasitikėjimą“, – tvirtina naujosios medijos mokovas Jeffas Jarvisas, rašantis knygą „Public Parts“ („Neintymios smulkmenos“) apie skaidrumo privalumus. Anot jo, „Dell“ reputacija gerokai ūgtelėjo įmonei pradėjus atvirai kalbėti apie technines savo produktų problemas, antai apie sprogstančius nešiojamųjų kompiuterių akumuliatorius. „Atskleidus kimono, nutinka daug gerų dalykų“, – teigia rašytojas ir vadybos konsultantas Donas Tapscottas: įmonė išsaugo sąžinę, darbuotojai būna lojalesni ir sumažėja operacijų su tiekėjais sąnaudos.
O jeigu konsultantų įmonės tyrimų padalinio „McKinsey Global Institute“ turimi duomenys teisingi, dar svarbiau yra tai, kad ribotas sąveikos sistemų diegimas gali pakenkti pelnui. Neseniai atlikęs apklausą jis nustatė, kad plačiai naudojančios socialinius tinklus, viki ir kitus internetinius įrankius įmonės gavo reikšmingos naudos, įskaitant greičiau priimamus sprendimus ir daugiau novatoriškumo.
Kaip tuomet atrasti tinkamą pusiausvyrą tarp slaptumo ir skaidrumo? Kompiuterinį tinklą vertėtų traktuoti kaip kelių sistemą. Kaip būna avarijų, taip ir informacija gali nutekėti, o mėginimai sustabdyti judėjimą žlugs, sako saugumo ekspertas B. Schneieris. Avarijų skaičių geriausia pradėti mažinti ne diegiant daugiau technologijų, o darbuotojams išaiškinant kelių eismo taisykles ir kelyje tykančius pavojus. Pavyzdžiui, failų perkėlimas į namų kompiuterį gali būti katastrofos prielaida. Tai gali paaiškinti, kaip duomenys iš sveikatos istorijų atsidūrė dalijimosi failais tinkluose. Prie tokio tinklo prisijungus darbuotojo šeimos nariui, duomenys gali atsidurti daugybėje kitų kompiuterių.
Daugiau taip nedarykite
Be to, įmonėms reikia tinkamų skatinamųjų priemonių. Norint išvengti problemų, būdingų prieigos kontrolei pagal pareigas, E. Johnsonas siūlo naudoti į policijos postą panašią sistemą: vartotojai gali laisvai naudoti daugiau duomenų, bet sistema registruoja jų veiksmus, o turima privilegija piktnaudžiaujantiems skiria nuobaudas. Jis teigia, kad stambiausia lustų gamintoja pasaulyje „Intel“ taisykles pažeidusiems darbuotojams skiria „baudas už greičio viršijimą“.
E. Johnsonas pirmasis pripažįsta, kad toks būdas per daug rizikingas, kai duomenys yra labai vertingi arba jų paviešinimas gali pridaryti daugybę žalos. Tačiau dauguma įmonių net nesuvokia, kokios informacijos turi ir kokia ji vertinga arba slapta. „Dažnai jos mėgina apsaugoti viską, užuot dėmesį skyrusios tik tam, kas svarbu“, – pasakoja „Alfresco“ technologijų direktorius Johnas Newtonas.
„Su „Wikileaks“ nutikęs incidentas – tai galimybė pagerinti informacijos valdymą“, – neseniai su kolegomis rašė tyrimų bendrovės „Gartner“ analitikė Debra Logan. Pirmiausia reikia nuspręsti, kuriuos duomenis pasilikti ir kiek juos laikyti; įmonės dažnai saugo per daug duomenų, taigi nutekinimo tikimybė didesnė. Anot D. Logan, antras žingsnis – suklasifikuoti informaciją pagal jos slaptumą: „Tik tuomet įmanomas protingas pokalbis apie tai, ką saugoti ir ką daryti informacijai nutekėjus.“
Be to, tai būtų proga sukurti, D. Tapscotto žodžiais, „skaidrumo strategiją“: kokia uždara arba atvira organizacija nori būti. Atsakymas priklauso nuo jos verslo pobūdžio. Anot savam apsaugos verslui vadovaujančio Alastairo MacWillsono, kai kuriose įmonėse, kaip antai IT konsultantų ir užsakomųjų paslaugų įmonė „Accenture“, saugumas yra prioritetas visuose lygmenyse, nes naudojama daugybė klientų duomenų. Darbuotojai turi reguliariai lankyti apsaugos kursus. Programinė įranga turi kiek įmanoma kontroliuoti, kas iškeliauja iš įmonės tinklo. „Mėginant su „BlackBerry“ arba skreitinuku padaryti ką nors neleistino, sistema paklausia: „Ar tikrai galite tai daryti?“ – aiškina A. MacWillsonas.
Visai kitokia atvirosios naršyklės „Firefox“ kūrimui vadovaujančio „Mozilla Foundation“ padėtis. Anot fondui pirmininkaujančio Mitchello Bakerio, skaidrumas – ne tik natūralus polinkis, bet ir būtinybė. Jei „Mozilla“ slėptų kortas, pasaulinė jos programuotojų bendruomenė nepadėtų ir negalėtų padėti rašyti programos. Taigi fondas stengiasi turėti kuo mažiau paslapčių; slepiama tik asmeninė darbuotojų informacija, verslo partnerių pageidavimu neviešintini jų duomenys ir saugumo skylės kuriamoje programinėje įrangoje. Visa kita galima rasti vienoje iš daugybės „Mozilla“ svetainių. Be to, bet kas gali dalyvauti kassavaitinėse jos telefoninėse konferencijose.
Tokiam atvirumui pasiryš nedaugelis įmonių. Bet daugybė pasuks šia kryptimi. Elektronika prekiaujančios įmonės „Best Buy“ skaidrumo strategijoje teigiama, kad klientai turi žinoti tiek pat, kiek įmonės darbuotojai. „Twitter“ savo darbuotojams sako, kad „Twitter“ svetainėje jie gali rašyti apie bet ką, bet nedaryti kvailysčių. Skaitmeniniais laikais, kai duomenų kiekiai nesulaikomai auga, o juos išlaikyti įmonių sistemose vis sunkiau, skaidresnėmis turėtų tapti daugiau įmonių. Gali būti, kad prieš dešimtmetį D. Tapscottas ir dar vienas technologijų žinovas Richardas Hunteris ne itin perdėjo, kai vienas parašė knygą, prognozuojančią nuogas korporacijas („The Naked Corporation“), o kitas – pasaulį be paslapčių („World Without Secrets“).
