Z badania przeprowadzonego na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów (KRD) wynika, że 95 proc. MŚP przetwarza dane osobowe pracowników, z czego prawie połowa (49 proc.) przekazuje je do biur księgowo-rachunkowych. Większość przedsiębiorców (88 proc.) uważa, że są one prawidłowo zabezpieczone przez podwykonawców przed udostępnieniem niepowołanym osobom. Równocześnie prawie połowa badanych firm obawia się, że te dane mogą zostać skradzione.
Bez zabezpieczenia
Przedsiębiorcy coraz częściej przekazują podwykonawcom dane osobowe swoich pracowników w formie elektronicznej, często bagatelizując przy tym zasady cyberochrony. Jedynie 31 proc. respondentów wysyła szyfrowane mejle z załącznikiem zabezpieczonym hasłem dostępu do pliku. Z badania ChronPESEL.pl i KRD wynika, że najczęściej tego typu środki stosują średnie firmy (38 proc.). Mikro i małe przedsiębiorstwa robią to rzadziej (po 31 proc.). Z kolei 22 proc. respondentów przesyła szyfrowane mejle z załącznikiem, chociaż nie są one zabezpieczone żadnym hasłem. Niektóre firmy przechowują pliki w chmurze - 16 proc. właśnie tam zamieszcza szyfrowane dokumenty, które następnie są udostępniane zewnętrznym partnerom.
Niektórzy przedsiębiorcy w ogóle nie przejmują się cyberzagrożeniami. Z badania wynika, że aż 14 proc. respondentów wysyła swoim podwykonawcom nieszyfrowane mejle z załącznikiem bez wymaganego hasła dostępu do pliku. Natomiast 9 proc. przechowuje nieszyfrowane dokumenty w chmurze, a następnie udziela do nich dostępu firmom zewnętrznym.
Niechronione nośniki
Na tym nie koniec grzechów MŚP. 5 proc. respondentów co prawda nie wozi już do biura rachunkowo-księgowego papierowych dokumentów z danymi pracowników, ale przekazuje je w formie elektronicznej na pendrive'ie lub zewnętrznym dysku. Jeśli urządzenie zostanie skradzione lub zgubione, informacje dotyczące podwładnych mogą wpaść w niepowołane ręce.
– Administratorzy danych, czyli pracodawcy, powinni przeprowadzić analizę ryzyka i zidentyfikować zagrożenia, jeżeli przekazują dane na nośnikach typu pendrive. Analiza powinna wykazać konieczność odpowiedniego zabezpieczenia takich urządzeń. Istnieją na rynku szyfrowane nośniki tego typu. Pliki także można zaszyfrować, co w przypadku zgubienia takiej przenośnej pamięci czy jej kradzieży uniemożliwi albo przynajmniej utrudni zapoznanie się z danymi bez znajomości hasła – podkreśla Mirosław Wróblewski, prezes UODO.
UODO nakładało już kary na administratorów, u których doszło do naruszenia RODO (ogólnego rozporządzenia o ochronie danych) z powodu utraty pendrive’a z niezabezpieczonymi danymi.
– Postępowania najczęściej wykazywały brak odpowiedniej analizy ryzyka, która pomogłaby uzmysłowić sobie konieczność odpowiedniego zabezpieczenia takich nośników – mówi Mirosław Wróblewski.