Sygnalista branży IT...

Tajemnicę przedsiębiorstwa pracodawca winien chronić z należytą starannością. Jeżeli informacja nie jest należycie chroniona, to z definicji nie stanowi ona tajemnicy przedsiębiorstwa

Do napisania niniejszego artykułu Sygnalistę IT zainspirowały niedawne niepokojące wydarzenia, z przełomu maja i czerwca bieżącego roku, nie wyłączając oświadczeń spółki ITSS sprawiających wrażenie ukrytych pogróżek wobec byłego pracownika.

Otóż według informacji udzielonych byłemu pracownikowi przez spółkę ITSS, na profilu firmowym spółki w serwisie GoWork pojawiły się wpisy nieustalonego autorstwa o nieokreślonej przez spółkę treści, mające w odczuciu ITSS godzić w dobre imię spółki i naruszać tajemnicę przedsiębiorstwa.

Spółka ITSS nie wiedziała, kto dokonywał wpisów, jednak wyraźnie podejrzewała swojego byłego pracownika, który akurat w tamtym czasie wystąpił z wnioskiem o wydanie kopii dokumentacji pracowniczej.

Spółce ITSS miały w związku z tymi wpisami grozić kary i pozwy ze strony klientów za rzekome ujawnienie tajemnicy przedsiębiorstwa przez byłego pracownika.

Według spółki, byłemu pracownikowi miały grozić następnie wielomilionowe roszczenia ze strony ITSS na zasadzie regresu.

Ustalono, że powyższe treści o wielomilionowych karach i potencjalnych roszczeniach regresowych wobec byłego pracownika spółka niespodziewanie prezentowała swojemu byłemu pracownikowi w czasie przekazywania kopii dokumentacji, wzbudzając tym samym u swojego byłego pracownika poczucie zaszczucia i osaczenia.

Tymczasem, zgodnie z przepisami Ustawy o zwalczaniu nieuczciwej konkurencji, przedsiębiorca powinien chronić informację stanowiącą tajemnicę przedsiębiorstwa z należytą starannością. Odmienne postępowanie prowadzi bowiem do pozbawienia takiej informacji waloru tajemnicy przedsiębiorstwa, a co za tym idzie, także ochrony prawnej.

A oto jak wyglądała ochrona informacji w spółce IT Systems and Solutions — w czasie gdy były pracownik był zatrudniony w ITSS:

1. Stosowali w wielu miejscach proste, łatwe do odgadnięcia, i na domiar złego sharowane wśród (współ)pracowników stałe hasło. Hasło znało co najmniej kilka osób. Było to hasło kont dających pełną władzę nad systemem, nie wyłączając roota na ich głównym serwerze wirtualizacyjnym. Tak, tym niesławnym serwerze stojącym na VMware ESXi, który tygodniami pracował na jednym dysku w RAIDzie 1, bo drugi dysk się wysypał. Tym samym serwerze, z którego można było pivotować się na pozostałe firmowe serwery, laptopy i do klientów.
2. W połowie 2011 roku powyższe hasło wydostało się poza ITSS — wiedzieli, ale według oświadczenia GŁ hasła nie mieli zamiaru zmieniać.
3. W tym samym czasie poza ITSS wydostały się kredki domain admina PKP Energetyki — stosowane do wdrażania ePO i innego oprogramowania McAfee. Też wiedzieli i też nie zmienili, a były to kredki dające możliwość np. zestawienia interaktywnej sesji RDP i przejęcie kontroli nad maszynami PKP Energetyki jako admin domeny. Na szczęście obyło się bez nagłych wyłączeń prądu na kolei i wstrzymywania ruchu pociągów.
4. Gdy GŁ zademonstrowano nowo odkrytą lukę w oprogramowaniu firmy McAfee, zdawał się nie rozumieć podatności i ITSS nic z luką nie zrobił, a było to oprogramowanie w którym się specjalizowali, które stosowali u siebie i które wdrażali np. w PKP Energetyce.
5. GŁ zademonstrowano także sposoby omijania przykładowych reguł McAfee Web Gateway, z podobnym efektem. A ściślej brakiem efektu.
6. Skonfigurowali VPN do swojego kluczowego klienta (o zgrozo ponownie PKP Energetyka...) w ten sposób, że możliwe było przeprowadzenie ataku MiTM i przekierowanie ruchu poza tunel VPN. Zgłoszono GŁ — jak grochem o ścianę.
7. Zgłoszono GŁ miskonfigurację dającą możliwość trywialnie łatwego, nieuwierzytelnionego zdalnego uruchomienia niepodpisanego kodu w ringu 0 na firmowych komputerach — GŁ oznajmił, że atak jest "mało prawdopodobny".

Poza technicznymi aspektami ochrony tajemnicy przedsiębiorstwa, wątpliwości co do skuteczności ochrony informacji budzi treść zawartych przez spółkę umów o pracę oraz brak towarzyszących umów NDA, jednak Sygnalista IT postanowił nie rozwijać tego tematu na wypadek, gdyby spółka zdecydowała się spełnić swoje groźby procesowania się ze swoim byłym pracownikiem — słabość umów to prawdziwy as w rękawie byłego pracownika pozwalający na skuteczną obronę przed sądem.

W ocenie Sygnalisty IT trudno oprzeć się wrażeniu, że wobec przedstawionych wyżej faktów, jeżeli ITSS zdecyduje się wystąpić z roszczeniem regresowym wobec swojego byłego pracownika, to z racji tak znikomego zabezpieczenia systemów, a co za tym idzie informacji, spółka nie będzie miała szans na wygraną.

Odmiennie kształtuje się zagadnienie potencjalnych roszczeń klientów wobec spółki ITSS. Trudno bowiem przyjąć, że spółka chroniła przetwarzane w systemach komputerowych informacje dotyczące realizowanych dla klientów projektów z należytą starannością, wymaganą zwykle w takich okolicznościach.

Sytuacja spółki ITSS wydaje się więc rysować w niezbyt jasnych barwach: jeżeli okazałoby się, że informacje mające w zamierzeniach klientów spółki stanowić tajemnicę przedsiębiorstwa zostały ujawnione przez byłego pracownika ITSS, to okoliczność ta działałaby oczywiście na niekorzyść spółki — przy jednoczesnym braku rzeczywistych możliwości wysuwania roszczeń regresowych wobec byłego pracownika.

Sytuacji spółki nie poprawia ówczesny sposób obchodzenia się z kredkami — wyobraźmy sobie bowiem zupełnie hipotetyczną sytuację, w której ktoś nieuprawniony (chociażby zwolniony pracownik) miał wieloletni dostęp (ang. dwell time) do systemów ITSS (i danych kolejnych klientów spółki) lub PKP Energetyki (i infrastruktury krytycznej).

Tym gorzej dla spółki, jeśli okazałoby się, że spółka wbrew własnym procedurom nie odebrała zwalnianemu pracownikowi dostępu do zasobów informatycznych, a następnie np. nastąpiło pogorszenie stanu zdrowia psychicznego tego pracownika. I pod wpływem choroby psychicznej były pracownik wykorzystywał pozostawiony dostęp.

Jeszcze gorsza byłaby sytuacja spółki, gdyby okazało się, że o pozostawieniu dostępu zwalnianemu pracownikowi świadomie zdecydował GŁ...

Tylko taki hipotetyczny czarny scenariusz.

Sygnalista IT życzy spółce ITSS jak najlepiej, pragnąc jednak wyrazić obawę, że może być już o wiele za późno na zmianę haseł.

Pod tajemniczym skrótem GŁ kryje się natomiast nikt inny, jak niegdyś dyrektor w dziale technicznym ITSS, a obecnie członek zarządu ITSS, chlubiący się ukończeniem z wyróżnieniem studiów na czołowym wydziale wielokrotnie nagradzanej polskiej uczelni technicznej (WEiTI PW), pan magister Grzegorz Łazęcki.

Czego to na tych studiach uczą!

Pana magistra Łazęckiego nie trzeba nikomu w polskiej branży IT przedstawiać. Jest on bowiem członkiem zarządu dużego polskiego przedsiębiorstwa informatycznego, był wielokrotnie zapraszany na różnego rodzaju spotkania organizowane przez środowisko branżowe, doświadczenie zawodowe zdobywał w renomowanych, największych polskich firmach informatycznych, nie wyłączając Asseco Business Solutions S.A.

Niewątpliwie nie jest więc osobą anonimową lecz szeroko znaną.

Smutnym dopełnieniem tej groteski jest fakt, że ITSS działa w bezpieczeństwie IT.