Blog

W ciągu ostatnich miesięcy docierają do nas informacje o katastrofach naturalnych. Cały Świat zastanawia się nad tym, czy można się lepiej (od Japonii) przygotować organizacyjnie na zdarzenia, których impakt i skutki są nieprzewidywalne. W mediach rozgorzała publiczna dyskusja na temat bezpieczeństwa wykorzystywanych technologii nuklearnych.

 

Tymczasem w ostatnich dniach Świat obiegła informacja dotycząca dosyć powszechnie znanego zdarzenia operacyjnego, jakim jest kradzież informacji krytycznych zarówno z punktu widzenia wiarygodności firmy, jak i bezpieczeństwa jej klientów. Chodzi tu o światowego potentata, producenta urządzeń i aplikacji kryptograficznych, firmę RSA i jej produkt SecurID. Okazało się, że firma ta padła prawdopodobnie ofiarą ataku typu Advanced Persistent Threat (APT), zdarzenia mającego cechy szpiegostwa przemysłowego prowadzonego przez inny kraj. Podobne zdarzenie dotknęło w zeszłym roku inną wielką korporację, firmę Google. Obszerniejsza informacja nt. tego incydentu znajduje się na stronach Heise Online.

Nasz Zespół patrzy oczywiście na to zdarzenie poprzez pryzmat kompleksowego podejścia do zarządzania odpornością biznesu. W kontekście tego i innych, podobnych zdarzeń często jednak zastanawiamy się, czy tak wielka firma mogła pozwolić sobie na brak nawet prostego programu zarządzania ryzykiem lub też czy ten program (jeśli go wdrożono) jest wystarczająco efektywny? Z płynących z firmy informacji wiemy jedno, że walczy w tej chwili o swój, wypracowany w ciągu wielu lat, wizerunek. W tej sprawie CEO RSA, Arthur W. Coviello Jr., wydał oświadczenie dla jej klientów. I tu, pomimo trwającego dochodzenia odnośnie sprawców tego ataku, sprawa powinna być opanowana. Czy jest? Mamy wrażenie, że nie do końca. Na dowód tego możemy powiedzieć tylko, że kilka znanych nam polskich instytucji wykorzystujących urządzenia szyfrujące firmy RSA nie wysłało do tej pory do swoich klientów żadnych komunikatów informujących, jak można zwiększyć bezpieczeństwo ich usług, chronionych przez produkty koncernu EMC.

I tu wracamy do postawionego wyżej pytania: czy firmy te efektywnie zarządzają ryzykiem? Odpowiedź na to pytanie pozostawiam Państwu.