Według raportu KPMG w 2022 r. aż 58 proc. firm w Polsce odnotowało przynajmniej jeden incydent naruszenia bezpieczeństwa danych. I choć ogólna liczba prób cyberataków była mniejsza niż rok wcześniej, to jednak aż w jednej trzeciej badanych firm zanotowano wzrost incydentów na najwyższym poziomie od pięciu lat. To potwierdzenie, że dane w polskich przedsiębiorstwach są coraz bardziej narażone na ataki, które ze względu na rosnącą intensywność wymuszają stosowanie coraz bardziej zaawansowanych form ochrony.
Naruszenie bezpieczeństwa dotyczy nie tylko danych cyfrowych. Chociaż jednym z częstszych przypadków jest wysłanie e-maili na niewłaściwy adres, to zdarzają się też pomyłki w wysyłaniu paczek, w których znajdują się dokumenty z danymi innych klientów. Wciąż częste są przypadki zagubienia dokumentów, które ktoś wyniósł z biura, choć nie powinien.
Inne naruszenia to choćby niewłaściwa anonimizacja danych i problemy z odpowiednią utylizacją dokumentów. Inny przykład to niefrasobliwość w udostępnianiu nagrań z monitoringu, np. w sieciach handlowych.
Jakie to ma znaczenie? Poza stratami trudnymi do wyliczenia, takimi jak reputacja firmy i zaufanie klientów, niewłaściwe zabezpieczenie danych może powodować bardzo wymierne koszty finansowe. W 2022 r. została nałożona najwyższa jak dotychczas kara – niemal 5 mln zł. Dotyczyła skopiowania przez nieuprawniony podmiot bazy zawierającej dane klientów firmy w czasie wprowadzania zmian w systemie przechowywania danych. To potwierdza, że organy nadzorcze działają i że warto odpowiednio zabezpieczać dane, bo to się opłaca także finansowo.
Co chronimy
W kontekście ochrony danych osobowych w Polsce przedsiębiorcy muszą ściśle przestrzegać przepisów, które określają, jak dane osobowe powinny być chronione i przetwarzane. Głównym dokumentem prawnym w tym zakresie jest ogólne rozporządzenie o ochronie danych, czyli RODO, które w precyzyjny sposób definiuje, jak mają być chronione i przetwarzane dane osób fizycznych, w tym klientów czy pracowników.
Problemem dla wielu przedsiębiorców jest często błędne definiowanie danych osobowych. Są nimi nie tylko imię, nazwisko czy numer PESEL, lecz również takie informacje jak identyfikator internetowy, adres e-mail czy adres zamieszkania. Szczególną ochroną objęte są dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, religijne, dane genetyczne, biometryczne czy dotyczące zdrowia lub seksualności.
W przypadku przetwarzania danych na podstawie zgody każda osoba musi być poinformowana o celu przetwarzania danych, tożsamości administratora danych i inspektora ochrony danych oraz odbiorcach danych osobowych. Ważne jest, aby zbierać minimalną ilość danych niezbędnych do realizacji określonego celu i dbać o precyzyjną komunikację oraz uzyskanie świadomych i dobrowolnych zgód.
Naruszenie ochrony danych osobowych definiuje się jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Wyróżnia się trzy główne typy naruszeń: naruszenie poufności, naruszenie dostępności oraz naruszenie integralności danych osobowych.
W przypadku wystąpienia naruszenia, obowiązkiem administratora danych jest zgłoszenie tego prezesowi Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od jego stwierdzenia. Zgłoszenie powinno zawierać opis charakteru naruszenia, kategorię i liczbę osób, których dane dotyczą, możliwe konsekwencje naruszenia oraz środki zastosowane w celu zaradzenia naruszeniu.
Dodatkowo, jeśli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych jest zobowiązany bez zwłoki zawiadomić osoby, których dane dotyczą, o takim naruszeniu. Powiadomienie powinno opisywać charakter naruszenia, jego możliwe konsekwencje oraz środki zastosowane w celu zminimalizowania negatywnych skutków.
Błędy w ochronie danych
Mimo że wciąż zdarzają się incydenty związane z naruszeniem bezpieczeństwa danych przechowywanych analogowo, to dzisiaj najczęściej mówi się o takich zdarzeniach w kontekście cyberbezpieczeństwa. Niestety przedsiębiorstwa wciąż popełniają dość podstawowe błędy, które mogą prowadzić do poważnych naruszeń bezpieczeństwa danych.
Zacznijmy od wyboru oprogramowania systemowego. Wiele firm, szczególnie mniejszych, kupuje np. komputery z systemem Windows w wersji Home, nie zdając sobie sprawy, że ta wersja nie oferuje kluczowych funkcji bezpieczeństwa, takich jak szyfrowanie dysku twardego czy możliwość podłączenia do domeny firmowej.
Kolejnym błędem jest brak profesjonalnego programu antywirusowego zarządzanego centralnie. Firmy często korzystają z darmowych lub tanich wersji, które nie zapewniają wystarczającej ochrony przed zagrożeniami.
Jednym z najpoważniejszych błędów jest umożliwienie pracownikom pracy na kontach z uprawnieniami administracyjnymi. Problemem są również proste i powtarzalne hasła, często zapisywane w dostępnych miejscach i używane w wielu miejscach.
Innymi powszechnymi błędami są nadmierna zależność od oprogramowania antywirusowego, brak zrozumienia profilu ryzyka, zbytnie poleganie na działach IT, niedostrzeganie cyberbezpieczeństwa jako inwestycji czy niewykrywanie oszustw, które się zdarzyły. Dodać należy też nieaktualizowanie oprogramowania i zaniedbywanie szkolenia pracowników.
Dbając o dane
W świecie, w którym cyfrowe zagrożenia ewoluują z dnia na dzień, przedsiębiorstwa muszą stale dostosowywać swoje strategie bezpieczeństwa danych. Coraz wyraźniej dostrzega się, że efektywna ochrona wymaga czegoś więcej niż tylko zaawansowanych technologii – kluczem są także odpowiednie procesy, świadomość pracowników i zgodność z przepisami prawnymi.
Pierwszym i najważniejszym krokiem dla każdej firmy jest zrozumienie zagrożeń. Do identyfikacji potencjalnych słabości niezbędne są regularne audyty bezpieczeństwa. Jednak samo poznanie zagrożeń to za mało. Kluczowe jest także podnoszenie świadomości pracowników. Ludzie zwykle stanowią najsłabsze ogniwo, dlatego szkolenia z zakresu bezpieczeństwa danych są niezbędne.
Oczywiście technologia również odgrywa istotną rolę. Inwestycje w nowoczesne rozwiązania, takie jak szyfrowanie danych, zaawansowane systemy antywirusowe, firewalle oraz inne narzędzia są kluczowe dla ochrony przed atakami. Podobnie jak wielopoziomowe podejście do bezpieczeństwa, łączące fizyczne i cyfrowe środki zabezpieczające.
Równie istotny jest jasno określony plan działania na wypadek wykrycia naruszenia danych, który umożliwi minimalizację szkód przy jednoczesnym zachowaniu postanowień przepisów prawnych.
Skuteczna ochrona danych wymaga zatem kompleksowego podejścia, które obejmuje zarówno technologię, jak i ludzki element, a także zgodność z obowiązującymi przepisami. Firmy, które przyjmą te zalecenia, będą lepiej przygotowane na wyzwania związane z rosnącymi zagrożeniami w dziedzinie cyberbezpieczeństwa.
Krzysztof Mirończuk