Najczęściej przyczyną ponoszonych przez firmy strat są pracownicy, którzy świadomie lub zupełnie nieświadomie przyczyniają się do utraty ważnych kontaktów lub informacji.
Polityka właściwego przechowywania danych osobowych w firmach, chociaż się poprawia, to ciągle pozostawia wiele do życzenia.
Najsłabszym ogniwem jest człowiek
Jednak w Polsce z zapewnieniem skutecznej ochrony dokumentów nie jest aż tak źle. – Ponad 90 proc. badanych przez nas w ramach inspekcji instytucji, spełnia dobrze formalne warunki, które są postawione przez ustawę o ochronie danych osobowych. Natomiast najsłabszym ogniwem jest człowiek. Tak naprawdę największym zagrożeniem dla danych przechowywanych w firmie jest nieuwaga, roztargnienie, czasem po prostu głupota pracownika, który przenosi je, kopiuje i umieszcza w miejscach, w których absolutnie nie powinny się znajdować – twierdzi dr Wojciech Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych.
Mniejsze firmy są w gorszej sytuacji
Z raportu firmy doradczej PwC wynika, że 40 proc. europejskich firm średniej wielkości nie jest przygotowanych na ryzyko utraty danych, w tym danych osobowych.
- Od kilku lat prowadzimy badanie poziomu świadomości przedsiębiorców. Duże firmy mają duże budżety, zatrudniają specjalistów po to, by chronić informacje. Rynek przedsiębiorstw średnich i mniejszych nie ma ani zwyczaju, ani pieniędzy, by to robić – mówi Tomasz Bejm z PwC.
Kto dużo wie, więcej wygrywa
Przypomina też, że szeroko rozumiana i zabezpieczona wiedza w dzisiejszych czasach jest kluczem do sukcesu gospodarczego. - Nie mówimy tu tylko o danych osobowych, ale o informacji gospodarczej i handlowej, o naszych konkurentach czy cenach. Mogą to też być dane o produktach, czy know-how firmy – mówi Tomasz Bejm z PwC.
Można wyłudzić kredyt
Największy wyciek dotyczył w z zeszłym roku bazy zawierającej sto milionów wpisów. Były w niej adesy, numery telefonów i inne dane osobowe.
Takie dane można na rynku kupić. Według nieoficjalnego cennika kosztują od 10 gr do złotówki za pojedynczy wpis. Kto je kupuje i w jakim celu?
- Możemy się posłużyć przykładami z polskiego rynku, na którym: imię, nazwisko, adres, inne dane osobowe są wykorzystywane w celu defraudacji. Przykładem może być sytuacja, w której na podstawie informacji zebranych w ankietach, brane były kredyty – mówi Tomasz Bejm. - Oczywiście problem jest nie po stronie banku, który kredytu udzielał, tylko osób, które próbowały oszukać i wyciągnęły pieniądze z banku, pod pozorem prawidłowych umów kredytowych – dopowiada.
Higiena teleinformatyczna to podstawa
- Dlatego informacje wrażliwe, w tym dane osobowe należy chronić, mówi dr Wojciech Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych. Przypomina, jak należy postępować. – Najbardziej potrzebnym działaniem, które powinno być wykonywane, jest uczenie każdego pracownika higieny teleinformatycznej, czyli podstawowych zasad, o których powinniśmy pamiętać – mówi. Choćby tego, że hasła nie zapisujemy na karteczce, którą następnie przypinanamy do ściany. - Warto pamiętać o częstej zmianie hasła, o tym, że powinny one być różne. Nie powinniśmy też wykorzystywać zawodowych zasobów do prywatnych działań – dodaje. - I chociaż ufamy ludziom, z którymi pracujemy, to pamiętajmy, że oni również są pewnym zagrożeniem dla danych, które przetwarzamy – mówi Główny Inspektor Danych Osobowych.
Sposobem na odniesienie sukcesu na tym polu na pewno są zabezpieczenia, techniczne szkolenia pracowników, ale i kontrolowanie, jak w praktyce stosują oni procedury bezpieczeństwa.
- Poziom świadomości pracowników ma kluczowe znaczenia. Z jednej strony firmy budują system kontroli, wprowadzają pewne reguły, edukują pracowników, co więcej wprowadzają mechanizmy, które kontrolują, czy zasady są przestrzegane – przekonuje Tomasz Bejm z PwC. Ale umiejętność zastosowania się do nich jest najważniejsza.
Kim jest złodziej danych
Z raportu PwC wynika, że statystyczny złodziej danych to pracownik firmy, mężczyzna w wieku 37 lat.
- Gdy pytamy przedsiębiorców, kogo się boją najbardziej, to okazuje się, że dwóch grup zawodowych: informatyków, bo ci mają dostęp do systemów informatycznych oraz kadry zarządzającej, bo to ona posiada najbardziej wrażliwe informacje – wyjaśnia przedstawiciel PwC.
– Zapominają natomiast o pracownikach, którzy sprzątają, o średniej kadrze zarządzającej, o asystentkach. Wszyscy oni mają równie szeroki dostęp do informacji i mogą ją wykorzystywać w mniej lub bardziej uczciwy sposób.
Trzeba pamiętać nie tylko o komputerach
- Nie zostawiajmy informacji na biurkach i sprawdzajmy gdzie i w jaki sposób są produkowane wydruki. Uświadamiamy pracownikom, w jaki sposób korzystać z zewnętrznych nośników. Komputery są zaszyfrowane, a zewnętrzne nośniki nie i łatwo je zgubić - mówi Tomasz Bejm z PwC.
Przedsiębiorcy boją się utraty zaufania
Utrata danych to także utrata zaufania obecnych i przyszłych klientów. – Przedsiębiorcy bardzo się boją utraty zaufania, wrażliwość marki jest uważana jako największe dobro – mówi Tomasz Bejm. Wspomina też o sytuacji prawnej.
- Prawo się rozwija i systematyzuje w takim znaczeniu, że polscy regulatorzy współdziałają z regulatorami europejskimi i podążają za tym, w jakim kierunku idzie świat.
Ale najważniejsza jest świadomość zagrożeń. – Chodzi jednak głównie o budowanie świadomości , jaką wagę ma dziś informacja i patrzenie na to z punktu widzenia właściciela biznesu – mówi.
Ochrona wszystkich informacji nie ma sensu
23 proc. badanych przez PwC przyznaje, że uzyskało nieuprawniony dostęp lub wzięło poufne dane ze swojego miejsca pracy.
- Wcale nie trzeba dążyć do tego, by sto procent informacji było chronionych. Proponujemy bardzo pragmatyczne podejście związane z analizą ryzyka – co nam grozi, gdy jakieś dane utracimy – wyjaśnia.
Trzeba pamiętać, że dane osobowe są chronione na poziomie prawnym. Natomiast utrata danych handlowych to problem przedsiębiorcy.
Uwaga na urządzenia mobilne
W naszych kieszeniach i torebkach jest coraz więcej telefonów komórkowych, smartfonów, tabletów – wszystkie mają zainstalowane aplikacje, które mogą pobierać dane i je przetwarzać. Ochrona danych osobowych użytkowników telefonów komórkowych i innych urządzeń mobilnych pozostawia wiele do życzenia, ostrzegają eksperci.
- Aplikacja może zbierać wszystkie dane, jakie mamy w telefonie, a to jakie to będą informacje zależy od tego, do jakich ma dostęp np. może to być nasza książka adresowa, zdjęcia, czy lokalizacja – wyjaśnia Michał Sztąberek z firmy iSecure na antenie PR 24.
Okazuje się, że w rzeczywistości w jakiej żyjemy, aplikacje są na tyle inteligentne, że mogą łączyć to gdzie się znajdujemy z kim się kontaktujemy, z jakiego programu korzystamy w danym miejscu. I wszystkie te fakty mogą być komuś potrzebne. Chociaż brzmi to trochę, jak z literatury s-f , to fikcją wcale nie jest.
Zainteresowanych naszymi danymi jest wiele podmiotów. - Mogą to być twórcy aplikacji, żywo zainteresowani tym, do czego ich programy są wykorzystywane – mówi Michał Sztąberek. - Dostępem do informacji może być zainteresowany właściciel aplikacji, czyli firma, która zamówiła jej stworzenie, operator systemu, który jest wykorzystywany przez dany telefon. Kolejnym podmiotem może być producent urządzenia, właściciel sklepu oraz reklamodawcy. - Twórca aplikacji musi uwzględnić interesy wszystkich tych podmiotów, a to oznacza przetworzenie bardzo dużej ilości danych osobowych - podkreśla ekspert.
Trzeba uważnie czytać, o co jesteśmy proszeni
Zwykle użytkownicy interesują się, jak ściągnąć daną aplikację, a już nie tym, kto ją stworzył, w czyim interesie to zrobił i do jakich danych ta aplikacja ma dostęp. Gdy instalujemy program na urządzenia mobilne coraz częściej pojawiają się pytania, jednym z nich może być: czy chcesz udostępnić swoją książkę telefoniczną.
- Przede wszystkim trzeba mieć świadomość tego, że nasze dane mogą być dostępne dla tych aplikacji, które instalujemy. Trzeba uważnie czytać wszystkie operacje, o których potwierdzenie jesteśmy proszeni przy ściganiu programów, czyli to, co dana aplikacja może chcieć od naszego telefonu – wyjaśnia.
Lepiej z oficjalnych sklepów
- Warto na pewno korzystać z aplikacji z oficjalnych sklepów – przestrzega Michał Sztąberek z firmy iSecure. Podaje prosty przykład, kiedy to chciał zainstalować w swoim telefonie aplikację „latarka”. Jednak po przejrzeniu wymogów, które stawiała (połączenie z video i mikrofonem) zrezygnował.
Gdzie mogą być przechowywane nasze dane
Można się zastanowić, gdzie zebrane dane będą przechowywane: czy na urządzeniu końcowym, czy może na serwerach twórcy aplikacji i jakie to może mieć przełożenie na bezpieczeństwo.
- Jeżeli na urządzeniu końcowym, to użytkownik sam może zadecydować, czy chce je usunąć. Natomiast jeśli na serwerze, to przecież nie mamy kompletnie pojęcia, jakie są tam stosowane zabezpieczenia – mówi ekspert. - To może być profesjonalna serwerownia, a może to być też komputer ustawiony pod biurkiem twórcy aplikacji – wyjaśnia. W tym drugim przypadku obawa o nasze dane może być rzeczywiście spora.
Nie ma przepisów odnoszących się bezpośrednio do ochrony danych na urządzeniach mobilnych. – Trzeba sięgnąć do zasad ogólnych, a zasada ogólna jest taka – zabezpieczenia powinny być adekwatne do zagrożeń. Czyli świadomy twórca aplikacji powinien dokonać analizy ryzyka i sprawdzić, jakie są potencjalne zagrożenia i dobrać do tego adekwatne środki – mówi Michał Sztąberek z firmy iSecure.
Podpowiada też, żeby wejść na strony sklepów z aplikacjami i popatrzeć, jak wygląda sytuacja przy poszczególnych aplikacjach. - Powinny tam być informacje, do jakich danych będzie ona miała dostęp.
Grażyna Raszkowska
