O czym rozmawialiśmy?
Temat dotyczący ochrony sygnalistów co jakiś czas pojawiał się zwłaszcza przy okazji mojej pracy jako administratora systemów i audytora wewnętrznego. Chociaż nie jest to typowo techniczne zagadnienie to również ma ono swoje miejsce w całym systemie zarządzania bezpieczeństwem informacji w organizacji.
Prowadzącym wywiad był Eryk Brodnicki, który podzielił się wiedzą na naszym portalu w artykule Ochrona sygnalistów – dlaczego to takie ważne?
Poniżej nagrania zamieściłem transkrypcję. Życzę Ci miłej lektury.
Transkrypcja
Eryk Brodnicki: Dzień dobry. Witam Państwa bardzo serdecznie w kolejnym odcinku programu Kwadrans z ochroną sygnalistów. Dziś moim i Państwa gościem jest Wojciech Ciemski z SecuityBezTabu. Cześć Wojtek!
Wojciech Ciemski: Cześć, dzień dobry.
Eryk: Wojciech Ciemski jest pasjonatem bezpieczeństwa systemów, sieci oraz wszystkiego co moglibyśmy zaliczyć to tzw. blue teamu. W branży IT działa zawodowo od 2013 roku, prowadząc między innymi bardzo popularny portal Security Bez Tabu. W swojej dotychczasowej karierze zawodowej był liderem zespołu ds. wsparcia, administratorem ds. utrzymywanie systemów. Pełnił także rolę audytora wewnętrznego, czy trenera cyberbezpieczeństwa. Obecnie pracuje jako konsultant IT i jest również członkiem stowarzyszenia ISSA Polska.
Wojtek, przejdźmy do tematyki ochrony sygnalistów. Zawodowo zajmujesz się wdrażaniem systemów bezpieczeństwa. Jaki wpływ na te systemy będzie miała procedura z zakresu whistle blowingu, czyli ochrony sygnalistów?
Wojtek: To jest bardzo dobre pytanie, też się nad nim zastanawiałem, czy będzie miała ta procedura wpływ. I myślę, nawet mam szczerą nadzieję, że jeżeli będziemy mieli prawnie usystematyzowaną tę tematykę, żeby ludzie nie bali się zgłaszać nieprawidłowości – bo to jest trochę tak, jak w mojej branży jest audyt, który w Polsce jest mylony z kontrolą, mam nadzieję, że coraz rzadziej. Przychodzi audytor, chce coś sprawdzić, to tak naprawdę on chce sprawdzić, co nam nie wychodzi, jeżeli coś nam nie wychodzi to tutaj jest, że tak powiem odpowiednia pałka z kabiny B, zgodnie z listą kar taką i taką i za przeproszeniem zaraz dostaniemy w dziób.
Whistle blower, to jest ten który gwiżdże w gwizdek, który krzyczy. To, co mi się bardzo podobało – nie pamiętam już, gdzie to przeczytałem, bardzo przepraszam – może to też jest dobre do popularyzacji, że naszych polskich sygnalistów dobrze by było nazywać kanarkami. Tak jak te kanarki dla górników, którzy schodzili w dół, były pierwsze były znakiem ostrzegawczym, że jest gdzieś gaz, zaraz może stać się tragedia. Też tak bym ich porównał, żeby ci ludzie odważyli się zgłaszać nieprawidłowości. Z mojego punktu widzenia, jeżeli ja będę miał informacje o tym, że coś nie działa poprawnie, to mam szansę zająć się tym.
Kolejne porównanie to trochę tak, jak z wczesną diagnozą raka. Trzeba pójść do lekarza, zdiagnozować się, czasem trzeba usłyszeć tę nieprzyjemną wiadomość: coś jest z panem nie tak, pomimo tego, że się pan dobrze czuje, musimy to zbadać. Często ta diagnoza postawiona na bardzo wczesnym etapie potrafi uratować życie, w tym przypadku człowieka, a w tym naszym, o którym mówimy, może uratować przedsiębiorstwo.
Eryk: Wojtek, pomimo tego tak bardzo plastycznego przykładu, który tutaj zobrazowałeś, to tak naprawdę wdrożenie założeń tej dyrektywy w Polsce wzbudza szereg kontrowersji. Oczywiście odzywają się głosy przedsiębiorców, też kierowników administracji publicznej, którzy mówią o prawnym wdrożeniu ochrony donosicieli i kapusiów. Jaka jest Twoja optyka w tej sprawie? Czy masz jakieś praktyczne wskazówki jak odróżnić donosiciela od sygnalisty?
Wojtek: Tutaj można powiedzieć, że to jest trochę pytanie natury moralnej. Patrząc, jak ja do tego podchodzę, to jest moje osobiste zdanie, to jeżeli widzę, że mój kolega robi coś zupełnie inaczej niż powinniśmy to wykonywać zgodnie z jakimś regulaminem, zgodnie z best practice, robi coś nie tak… I znowu czasem nie ma nic złego w zrobieniu czegoś niezgodnie z regulaminem, nie dlatego, że regulaminy są niepotrzebne, tylko – przykład typowo audytowy – regulamin już się dawno zdezaktualizował, już jest wprowadzony nowy i on jest tylko i wyłącznie w głowach osób, które wykonują. On jest prawidłowy, wszystko jest z nim w porządku, jest pewna niezgodność w tym, że on nie jest spisany, nie wszyscy o nim wiedzą. To jest inny problem. Natomiast ja bym po prostu zwrócił uwagę: hej twoje działania mogą sprawdzić, że zaraz będziemy mieli takie i takie ryzyko. I to nie jest nakapowanie, czy donosiecielstwo.
Nie chcę zabrzmieć źle, ale mi się wydaje, że to jest trochę peerelowskie, chociaż ja w tym okresie nie żyłem, że ktoś podbiera, to ja go zgłoszę, że on podbiera. No ale z drugiej strony to jest osoba, która popełnia czyn zabroniony, jest opisany w odpowiednim kodeksie. I czy to jest moralnie niewłaściwe, że poszedłem do managera, że tak osoba kradnie? Z mojej perspektywy – nie.
Oczywiście wiem, że po ludzku może mieć różne motywacje do popełnienia takich, czy innych czynów. Dobrze byłoby mu najpierw zwrócić uwagę, może nie jest świadomy, może ma jakiś problem, w którym można pomóc. Ale w pewnej chwili jest taki moment, że to trzeba gdzieś zgłosić. Trzeba zgłosić wyżej, managerowi, że coś się dzieje w naszym przedsiębiorstwie, czy naszej komórce nie w porządku, ponieważ jeśli tego nie zrobimy, zostaniemy pociągnięci do odpowiedzialności grupowej. Czyli dana komórka zostanie wzięta pod lupę i wszyscy jej członkowie będą oskarżeni o nienależyte wykonywanie swoich obowiązków, czy szkodzeniu firmie.
Eryk: Wojtek, wdrażałeś systemy zarządzania bezpieczeństwem informacji w dużej ilości podmiotów od sektora publicznego po ten sektory prywatny. Jakie mają dla ciebie znaczenie aspekty związane właśnie z naruszeniami w obszarze bezpieczeństwa informacji? Czy zgłaszane są do ciebie takie nieprawidłowości, które są wartością dodaną w kreacji systemu bezpieczeństwa informacji?
Wojtek: Tak, jak najbardziej zawsze się to działo. Tylko do tej pory bardzo to zależało od administratora bezpieczeństwa informacji, administratora systemów i innych osób, które zajmują się tym zawodowo w organizacji, żeby zbudować to zaufanie. To była kwestia zaufania. Ok., ty mi przyjdziesz, powiesz, wyślesz maila, zostawisz kartkę, cokolwiek, mówisz mi to face to face. Musisz mi zaufać, że ja tego nie wykorzystam, powiem, że zostało to wykryte bezosobowo, kolega X z działu Y przyszedł i mi to powiedział, ponieważ nie chcesz mieć całych rozmów, jak to wykryłeś itd. I to się dzieje. Zawsze się mówiło, że to jest niesamowita wartość, żeby mieć zaufanie pracowników przedsiębiorstwa, czy dla audytora – budzić zaufanie i chcieć wysłuchać ludzi, jak oni pracują, co robią. Żeby nie było to w celu kar, robienia im pod górę, komplikowania im życia w pracy, a usprawnieniu i pomocy im. Bo może bardzo często nie są w stanie przebić się przez swoim managerów, bo widzą pewne nieprawidłowości i my możemy dzięki temu usprawnić jakieś procesy. I ochrona sygnalistów w tym kontekście tylko to formalizuje. Dokładamy oficjalny kanał, bo z tego co wiem, tak to ma być zrobione, które zapewni anonimowość, zapewni ochronę tych osób. W tym sensie, że jakiś manager, ktoś wyżej postawiony, w którego to uderzy bezpośrednio (bo sam to na siebie ściągnął de facto), który wie, kto to jest, żeby nie mógł się zemścić, może to za mocne słowa, ale żeby to nie wystąpiło.
Podsumowując, z jednej strony jest to bardzo duża wartość. Wręcz nie wyobrażam sobie pracy w bezpieczeństwie bez tego czynnika ludzkiego i bez tej możliwości wysłuchiwania każdej osoby, która zgłasza. Nawet jeżeli jest to coś nieważnego, samo budowanie zaufania jest bardzo ważne. A ochrona sygnalistów systematyzuje to prawnie.
Eryk: Jednym z wymogów dyrektywy jest utworzenie wewnętrznego kanału do obsługi nieprawidłowości. Jaki to powinien być kanał? Twoja optyka od strony związanej z bezpieczeństwem informacji.
Wojtek: Teraz włącza mi się jedna z lampek w głowie, ponieważ ja powiem, że ten kanał powinien być anonimowy, nie powinien zbierać informacji itd. Jednakże miejcie świadomość, że to, że coś nie powinno być robione i oczywiście w bardzo dużej części nie jest, nie znaczy, że tego się nie da zrobić. Przykład? Maile kasowane z serwerów pocztowych nie powinny być przechowywane, natomiast bardzo wiele usług ma coś takiego jak wieczna skrzynka. To znaczy, że jeżeli ten mail wpadł, to będzie tam dopóki tej usługi nie zamkniemy. Oczywiście ma do tego dostęp jedna, góra może dwie osoby z organizacji. I dobrze by było, żeby musieli zebrać dwa klucze, spotkać się przy pełni księżyca i dopiero mogą coś w zmowie coś takiego zrobić. Natomiast to da się zrobić. I jeżeli ja uważam, że to powinno być maksymalnie anonimowe, powinny być takie kolory i możliwości nawet jeżeli chodzi o gui graficzne, żeby to się nie wyróżniało, żeby nie było że tu się pojawił kolor czerwony, zielony, fioletowy, czy jakiś i mój kolega już wie, że to nie jest FB, tylko aplikacja do zgłaszania nieprawidłowości. I jeżeli ja to już otworzyłem, to będą jakieś domysły, zepsucie atmosfery w pracy. Takie rzeczy też mogą mieć wpływ. Zastanowiłbym się też nad anonimizacją na poziomie działu. Że wiem tyko z jakiego działu to przyszło, czasami też może być niewystarczająca, ponieważ jeżeli w danym dziale są dwie osoby, szef i przełożony, to trudno z tą anonimowością.
Eryk: A powiedz mi od takiej bardzo praktycznej strony, o czym trzeba tak naprawdę pamiętać przy wdrażaniu systemów ochrony sygnalistów? Powiedzmy pięć najistotniejszych kwestii. Na coś być szczególną uwagę w tym aspekcie zwrócił?
Wojtek: Zrobiłbym to maksymalnie proste, ponieważ nie wiemy, kto będzie z tego korzystał, nie musi to być pracownik biurowy. Bardzo często pracownik techniczny, który nie ma wiedzy komputerowej, powinien wiedzieć, jak może coś zgłosić. Nie musi to być aplikacja, może to być na przykład skrzynka do wrzucenia informacji. A aplikacja, czy sposób przekazywania tych informacji powinien być maksymalnie prywatny, anonimowy. Jeżeli jest taka skrzynka, to nie powinna być w miejscu, gdzie ludzie przechodzą. A z drugiej strony w miejscu, że jeżeli ktoś idzie w tym kierunku, to wiadomo, że tam jest tylko i wyłącznie ta skrzynka.
Tutaj dochodzi ta prostota. Czyli powiedzmy sam formularz powinien być taki, że z jednej strony jesteśmy w stanie zdiagnozować, czy od razu zlokalizować, gdzie ten problem się pojawia, z drugiej strony, żeby to nie sprawiało trudności dla osoby zgłaszającej. To już jest w naszej gestii, żeby dowiedzieć się, gdzie jest nieprawidłowość, a nie dla osoby zgłaszające. Ona ma tylko podnieść flagę.
Eryk: Szanowni Państwo, a więc prostota, kompleksowość i przejrzystość to takie elementy dotyczące aspektów związanych z ochroną sygnalistów na terenie zakładu pracy. Wojtku, bardzo dziękuję ci za dziś, za udział w dzisiejszym Kwadransie z Ochroną Sygnalistów. Moim i Państwa gościem był Wojciech Ciemski z Security Bez Tabu. Bardzo mi miło.
Wojtek: Bardzo dziękuję za zaproszenie. Życzę miłego dnia i do zobaczenia.