Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce

Zamknij

Chroń dane firmy!

Data: 2013-12-08 00:00:00
Chroń dane firmy!
Pancerne komputery z siatką Faradaya przeciwko mobilnym wirusom, zastępy kamer i skanerów odcisków palców niewiele pomogą, jeśli pracownicy w firmie nie będą lojalnie chronić poufnych danych przed ich wyciekiem. Pracownik musi być również odpowiedzialny, gdy wykryje w miejscu pracy nieprawidłowości. Wówczas, jeśli je zgłosi pracodawcy, ten powinien wiedzieć, jak go chronić.

Na pytanie, jak pewny jesteś czy bezpieczeństwo informacji w Twojej organizacji jest skuteczne, aż 80 proc. zarządzających odpowiedziało pozytywnie. Tak wynika z danych przedstawionych w raporcie przygotowanym przez PwC „The Global State of Information Security® Survey 2014”, na podstawie ankiet przeprowadzonych wśród 9 600 respondentów, głównie kadry wysokiego szczebla z branży IT. Jeszcze wyższy stopień zaufania do skuteczności zabezpieczeń informacji w przedsiębiorstwach wykazują osoby zatrudnione na najwyższych stanowiskach kierowniczych. Aż 90 proc. z nich jest przekonanych o bardzo dobrej jakości programów bezpieczeństwa w firmie, przy czym badania w 39 proc. dotyczyły firm o rocznym obrocie przekraczającym 500 milionów dolarów.

Dobre samopoczucie a fakty

Trzeba sobie to powiedzieć jasno: tak wysoka wiara we własne zabezpieczenia nie ma wielkiego odzwierciedlenia w rzeczywistości. W ostatnim czasie byliśmy świadkami wielu wycieków danych o charakterze globalnym. Przykładem z ostatnich miesięcy jest chociażby firma Adobe. 17 września 2013 r. hakerzy uzyskali tam dostęp do m.in. nazw użytkowników, haseł (zaszyfrowanych), numerów kart kredytowych (również zaszyfrowanych) oraz dat wygaśnięcia tych kart. Szacowano wtedy, że wyciek danych mógł dotyczyć aż 38 milionów użytkowników, jednak według jeszcze niepotwierdzonych danych, wrogie przejęcie danych mogło dotknąć aż 150 milionów osób. Problem ochrony przed wyciekiem danych dotyczy zarówno firm międzynarodowych, jak i przedsiębiorstw krajowych. Na początku listopada br., w sieci pojawił się plik zawierający dane abonentów firmy telekomunikacyjnej Hyperion S.A. Zawarte było w nim ponad 400 tysięcy wierszy z danymi abonentów. Wśród nich były: imiona i nazwiska, adresy świadczenia usługi, numery telefonów kontaktowych, numery NIP/PESEL, hasła i inne wewnętrzne informacje operatora.

Kanały wycieku danych

Poufne dane mogą wyciekać z firm na różne sposoby. Bywa, że sami pracownicy mogą przyczynić się do ich wypływu np. przez nieuwagę, przypadek bądź lukę w systemie. Przykładem tego typu wycieku danych jest sytuacja na portalu Facebook, która została zdiagnozowana w czerwcu tego roku.  Ze względu na błąd w systemie archiwum danych Facebooka niepowołane osoby miały dostęp do takich danych, jak: adresy e-mail i numery telefonów użytkowników. Choć błąd został wychwycony, poszkodowanych zostało aż 6 milionów osób. Kolejnym kanałem utraty danych jest zgubienie lub kradzież pamięci masowych, albo komputerów firmy. W tym przypadku ryzyko związane z utratą danych nie wymaga dużej wiedzy informatycznej. W 2013 roku na skutek przestępstwa – kradzieży 4 komputerów z firmy, ujawniono dane ponad 4 milionów amerykańskich pacjentów, zawierające: imiona, nazwiska, daty i miejsca urodzenia oraz numery ubezpieczenia.

Bezpieczeństwo kosztuje


Firmy zdają sobie sprawę z następstw takich wypadków i przeznaczają coraz większy budżet na bezpieczeństwo danych. Z przytoczonego wcześniej raportu PwC wynika, że największe firmy na świecie przeznaczyły w 2012 roku 3,8 mln dolarów na ochronę swoich zbiorów, podczas gdy w tym roku już… 5,2 mln dolarów. Poza ryzykiem utraty cennych informacji, firmom grozi katastrofa wizerunkowa. Przykładem takiego wycieku jest np. sytuacja, która miała miejsce w Ministerstwie Gospodarki w październiku bieżącego roku. Opublikowane zostały wówczas w sieci elementy informacji z Wydziałów Promocji Handlu i Inwestycji zawierające m.in. takie informacje, jak: skany paszportów (głównie obcokrajowców, np. zapraszanych do Polski w sprawach handlowych przez Wydział Promocji Handlu i Inwestycji Ambasady Rzeczypospolitej Polskiej w Republice Białorusi) oraz rządowych dokumentów.

Najciemniej pod latarnią

Większość budżetu na ochronę danych firmy przeznaczają na prewencję przed atakami zewnętrznymi, podczas gdy dużo gorsze zagrożenia znajdują się w ich strukturach. Z raportu PwC wynika, że największe ryzyko dla bezpieczeństwa danych stanowią pracownicy, a zaraz za nimi dostawcy usług. Przy czym ryzyko wystąpienia incydentów wywołanych przez byłych pracowników zostało oszacowane na poziomie 34 proc., a dla aktualnych - 32 proc. Potencjalne ryzyko utraty danych, na rzecz byłych i obecnych dostawców, zostało solidarnie wskazane na poziomie 18 proc.Ograniczenie ryzyka związanego z wewnętrznymi kanałami utraty danych jest znacznie bardziej skomplikowane niż odpieranie ataków zewnętrznych. Z jednej strony, przynajmniej część pracowników firmy musi posiadać dostęp do danych wrażliwych, a niektórzy z tych pracowników mogą stanowić słabe ogniwo wpływające na całą organizację. Zagrożenie może wynikać zarówno ze świadomego, jak i nieświadomego działania. Wycieki danych, dokonywane w sposób nieświadomy, wynikają z nieuwagi bądź braku przestrzegania polityki bezpieczeństwa w firmie. Pracownicy, mający dostęp do poufnych danych, często zapisują je na niezabezpieczonych nośnikach danych lub wysyłają na prywatne adresy e-mailowe. Często stosowana polityka „Bring your own device” (BYOD), umożliwiająca pracownikom wykonywanie czynności na własnych urządzeniach, bezpośrednio przekłada się na ryzyko utraty danych, w szczególności w przypadku zgubienia sprzętu. Pracownicy lekceważą też zasady polityki haseł, wprowadzając łatwe do zapamiętania i do złamania kody typu: „123…”.
Michał Geilke - ekspert ds. bezpieczeństwa z firmy Orleccy potwierdza, że głównym powodem utraty danych przez przedsiębiorstwa są błędy zarówno administratorów bezpieczeństwa informacji, jak i pracowników. - Regułą bywa, że pracownicy współdzielą dostęp do swoich komputerów oraz poczty poprzez wymienianie się hasłami w zespole. Natomiast głównym sposobem wynoszenia danych poza obszar przedsiębiorstwa jest ich przegrywanie na zewnętrzne nośniki. Połowa incydentów wycieku danych zgłoszonych do prokuratury dotyczyło właśnie takich sytuacji - mówi Michał Geilke.

Technologia, świadomość i lojalność

Organizacje stosują metody ochrony danych wewnętrznych nieprzystosowane do szybko zmieniającego się otoczenia i nowych możliwości technologicznych. W raporcie PwC, aż 61 proc. przedsiębiorstw stwierdziło, że korzysta z technologii „chmury”, w większości uznając ją za bardziej bezpieczną od innych. Jednocześnie jedynie 22 proc. z nich zamieściło zasady i procedury korzystania z tej technologii w polityce bezpieczeństwa. Niezależnie od poniesionych nakładów finansowych na ochronę oraz rozbudowanych procedur, zawsze będą powstawać nowe możliwości utraty danych.Renata Bronisz-Czyż, dyrektor personalny w firmie Stokrotka uważa, że bezpieczeństwo informacji w firmie zależy od trzech głównych czynników: technicznych zabezpieczeń, świadomości pracowników oraz ich lojalności. -  Priorytetem jest budowa przyjaznej atmosfery w pracy, opartej na jasno sprecyzowanych wartościach. Przyjazna atmosfera w pracy przekłada się na efektywność pracy oraz lojalność pracowników, co owocuje minimalizacją ryzyka wycieku poufnych danych - mówi dyrektor HR.
Również przepisy dot. ochrony danych, jeśli są odpowiednio dostosowane do aktualnych warunków, dają możliwość ograniczenia ryzyka wycieku danych.Formalnie, każdy z pracowników przetwarzających np. dane osobowe klientów, musi zostać do tego przez pracodawcę upoważniony. Co warto podkreślić: udzielone upoważnienie obowiązuje tylko na określony czas, natomiast zobowiązanie do zachowania tajemnicy przetwarzanych danych oraz sposobu ich zabezpieczenia jest bezterminowe. Taką ochronę gwarantuje pracodawcom ustawa o ochronie danych osobowych z 29 sierpnia 1997 r. (Dz.U. z 2002 r. nr 101, poz. 926).
- Przed największymi zagrożeniami nie da się ochronić firmy jedynie zaawansowaną technologią - uważa Michał Geilke i dodaje, że najlepszym sposobem prewencji jest edukowanie pracowników oraz informowanie ich o odpowiedzialności za powierzone dane na piśmie. W przypadku celowego wycieku danych, pracownikowi grozi odpowiedzialność prawna i finansowa za celowe działanie na szkodę pracodawcy.

Wyciek w dobrej wierze

Bywają jednak sytuacje, kiedy osoby odpowiedzialne za wyciek informacji z firmy działają w dobrej intencji. Sygnaliści (z ang. whistleblowers), bo o nich mowa, ujawniają ważne dla interesu społecznego lub publicznego nieprawidłowości, w miejscu pracy albo w swoim środowisku. Według „Raportu do narodów o oszustwach i nadużyciach pracowniczych” z 2012 r., opublikowanego przez Stowarzyszenie Biegłych do spraw Przestępstw i Nadużyć Gospodarczych (Association of Certified Fraud Examiners), aż 43 proc. analizowanych przypadków wykrytych nadużyć w korporacjach pochodziło właśnie od sygnalistów.  
W polskim ustawodawstwie są przepisy zachęcające lub wręcz zobowiązujące pracowników do ujawniania nieprawidłowości, jak na przykład: art. 304 par. 1 Kodeksu postępowania karnego, brakuje jednak spójnych i jednolitych przepisów prawa chroniących sygnalistów. O zmianę tych przepisów już w 2009 r. apelował Rzecznik Praw Obywatelskich Janusz Kochanowski, podkreślając że: „polski system prawny powinien zapewnić demaskatorowi należyte gwarancje przeciw reperkusjom”. Ministerstwo Sprawiedliwości do tej pory nie uporało się jednak z tym problemem. Tymczasem, jak policzono, różnego rodzaju nadużycia w firmach kosztują przedsiębiorstwa aż 5 proc. ich globalnych obrotów. Dlatego też, w interesie samych pracodawców jest wdrożenie wewnętrznych, bezpiecznych dla sygnalistów procedur powiadamiania o nadużyciach.

Bartosz Nowak


Elementarz, czyli jak uniknąć wycieku danych:

1. Pamiętaj o poufności informacji wysyłanych pocztą e-mailową.
2. Ogranicz korzystanie z Internetu do niezbędnego minimum.
3. Systematycznie aktualizuj oprogramowanie.
4. Zainstaluj programy skanujące i szyfrujące.
5. Nie otwieraj plików pochodzących z nieznanych źródeł.
6. Wykonuj regularnie kopie bezpieczeństwa danych.
7. Podnoś swoją wiedzę o zagrożeniach w sieci.
8. Zachowaj w tajemnicy swoje hasła.
9. Używaj bezpieczniej przeglądarki.
10. Skutecznie niszcz zbędne nośniki danych.

Komentarze

Twój komentarz może być pierwszy!

Ostatnie w kategorii Odpowiedzialny pracodawca

  • Baza ludzi odrzuconych

    Baza ludzi odrzuconych

    Ignorowanie kandydatów odrzuconych, bez względu na stanowisko, może mieć negatywny wpływ na kolejne rekrutacje oraz wyniki biznesowe całej firmy.

    Data: 2015-09-08 21:01:06, Kategoria:Odpowiedzialny pracodawca
  • Atmosfera w pracy kluczowa dla kandydatów. Wynagrodzenie schodzi na dalszy plan

    Atmosfera w pracy kluczowa dla kandydatów. Wynagrodzenie schodzi na dalszy plan

    Jeszcze w 2004 roku decyzja o podjęciu nowej pracy podyktowana była głównie zakresem przyszłych obowiązków i oferowanym wynagrodzeniem.

    Data: 2015-06-09 12:29:54, Kategoria:Odpowiedzialny pracodawca
  • Promocja zdrowia w miejscu pracy

    Promocja zdrowia w miejscu pracy

    Promocja zdrowia i profilaktyka zdrowotna w miejscu pracy to skuteczna strategia wspierania rozwoju każdej firmy. Działania takie przynoszą wymierne oszczędności dla budżetu, gospodarki i pracodawcy.

    Data: 2015-05-29 09:18:28, Kategoria:Odpowiedzialny pracodawca
  • Gdy szef każe pracować dłużej, czyli kiedy powiedzieć „nie” nadgodzinom

    Gdy szef każe pracować dłużej, czyli kiedy powiedzieć „nie” nadgodzinom

    Zdarzają się sytuacje, kiedy musimy zostać w pracy dłużej. Niektórzy pracownicy traktują to jako możliwość wykazania się, dodatkowego zarobku, inni woleliby poświęcić ten czas na życie prywatne. I choć w niektórych przypadkach,..

    Data: 2015-04-09 00:00:00, Kategoria:Odpowiedzialny pracodawca

Podobne artykuły

  • Stress interview, czyli gdzie leżą granice wytrzymałości kandydatów?

    Stress interview, czyli gdzie leżą granice wytrzymałości kandydatów?

    Wywoływanie stresu na spotkaniu rekrutacyjnym może być przemyślaną strategią pracodawcy lub agencji pracy. Rekruterzy chcąc sprawdzić, jak dany kandydat zareaguje w nieprzyjemnej sytuacji spóźniają się celowo na rozmowę kilkadziesiąt minut,..

    Data: 2013-09-01 00:00:00, Kategoria:Odpowiedzialny pracodawca
  • Nie zatrzaskuj drzwi za kandydatem!

    Nie zatrzaskuj drzwi za kandydatem!

    Gdy rynkiem pracy rządzą pracodawcy i dyktują warunki zatrudnienia,

    Data: 2013-09-30 00:00:00, Kategoria:Odpowiedzialny pracodawca
  •  Czy warto aplikować na anonimowe ogłoszenia pracy?

    Czy warto aplikować na anonimowe ogłoszenia pracy?

    Największe wątpliwości kandydatów pojawiają się wtedy, gdy aplikują oni na ogłoszenia, w których nie ma podanej nazwy firmy. O ile jest to rekrutacja zlecona agencji, nazwa firmy na etapie konstrukcji ogłoszenia nie jest ujawniana chociażby..

    Data: 2013-07-29 00:00:00, Kategoria:Odpowiedzialny pracodawca
  • Ile jest prawdy o kandydatach w testach psychologicznych

    Ile jest prawdy o kandydatach w testach psychologicznych

    Testy psychologiczne mają pomóc rekrutującym w zobiektywizowaniu oceny o kandydacie do pracy, a nie wyręczać ich w pracy i samodzielnym myśleniu. Warto zastanowić się więc, po co używa się konkretnego narzędzia w czasie rekrutacji? Źle dobrany..

    Data: 2013-07-21 00:00:00, Kategoria:Odpowiedzialny pracodawca