Naruszenia bezpieczeństwa danych to coraz większe zagrożenie dla przedsiębiorstw…
Podczas gdy termin ochrona danych odnosi się ogólnie do ochrony danych osobowych, bezpieczeństwo danych koncentruje się na środkach zapewniających ochronę danych, w tym przed niewłaściwym wykorzystaniem i utratą. Klasycznie, wymagania dotyczące bezpieczeństwa i ochrony danych w przedsiębiorstwach są organizowane przez tak zwany system zarządzania ochroną danych. Umożliwia to ciągłe monitorowanie i poprawę zgodności z tymi środkami. Bezpieczeństwo danych dotyczy kwestii, w jaki sposób dane mogą być najlepiej chronione przed dostępem osób nieuprawnionych. Najgorszą sytuacją jest to, że nie tylko zewnętrzni hakerzy są odpowiedzialni za ataki na organizacje. Coraz częściej za cyberatakami lub incydentami stoi zaufany pracownik, który ma dostęp do poufnych informacji. Przykładem może być sytuacja opisana w opublikowanej niedawno informacji Generalnej Dyrekcji Ochrony Środowiska o naruszeniu poufności danych osobowych przetwarzanych za pośrednictwem systemów informatycznych, a w szczególności za pośrednictwem poczty elektronicznej przez jednego z pracowników, który skopiował dane na swoją prywatną chmurę.
Wewnętrzni pracownicy mogą stanowić poważne zagrożenie dla bezpieczeństwa danych…
Sytuacja, która wystąpiła w GDOŚ wskazuje wyraźnie, że nie do końca możemy ufać naszym pracownikom, a problem ten ma charakter globalny. W ostatnich tygodniach media obiegła informacja o wyroku 3 lat więzienia dla Ashley Liles, pracownika brytyjskiej firmy, który szantażował pracodawcę, symulując zewnętrzny atak ransomware. Kilka lat wcześniej światem biznesu wstrząsnęła informacja o pracowniku Tesli, który otrzymał propozycję miliona dolarów od byłego współpracownika, za wprowadzenie do systemu organizacji złośliwego oprogramowania, które umożliwiłoby atak ransomware. Można by się zacząć zastanawiać, dlaczego nasi pracownicy działają lub chcą działać na szkodę naszej firmy… Częstymi powodami jest chciwość czy złość, jednak możliwych powodów jest o wiele więcej. Istnieje całe spektrum możliwych metod, za pomocą których osoba mająca dostęp do poufnych informacji jest w stanie zaszkodzić/grozić wybranej organizacji. Każda organizacja pracująca z danymi osobowymi musi zadbać o ochronę przed atakami wewnętrznymi. Stanowią one jedne z poważniejszych zagrożeń dla bezpieczeństwa danych osobowych.
Zagrożenia wewnętrzne zwykle są powodowane przez pięć typów użytkowników…
Pracują na co dzień w zakresie działań, w których dana organizacja się specjalizuje często nie zawracamy uwagi na drobne szczegóły, które mogą narazić naszą organizację na utratę bezpieczeństwa danych osobowych. Większość pracowników działów handlowych, administracyjnych, kadrowych czy logistycznych posługuje się na co dzień danymi osobowymi i nie zastanawia się nad tym czy robi to dobrze i zgodnie z przepisami oraz wewnętrznymi wymogami danej organizacji. Pierwszą właśnie grupą mogącą doprowadzić do incydentu będą nieświadomi zagrożeń pracownicy. To zagrożenie jest najłatwiejsze do wyeliminowania. Można to robić przez cykliczne szkolenia prowadzone przez doświadczonego Inspektora Ochrony Danych lub specjalistę ds. ochrony danych osobowych. Kolejną grupą będzie nowa od niedawna (choć nie wszędzie nowa) grupa pracowników zdalnych. Te osoby pracując poza bezpiecznym obszarem firmowym szczególnie podatne są na zagrożenia bezpieczeństwa danych osobowych. Idąc dalej pamiętajmy, że wśród naszych pracowników często są administratorzy systemów. Administratorzy którzy mają szeroki dostęp do danych i mogą naszym organizacją zaszkodzić. Czwartą grupą będą też byli pracownicy. Może się tak zdarzyć, że zapomnieliśmy im odebrać dostępy do zasobów. Jeśli rozstaliśmy się z nimi w niezbyt dobrych relacjach stanowią zagrożenie dla bezpieczeństwa danych osobowych przetwarzanych w naszej organizacji. Ostatnim z użytkowników powodujących wewnętrzne zagrożenia dla bezpieczeństwa danych są zewnętrzni wykonawcy wykonujący dla nas różnego typu działania.
Bezpieczeństwo danych osobowych oparte o dobrą strategię ich ochrony…
Od wejścia w życie przepisów RODO już minęło przeszło 5 lat i wszyscy już jesteśmy przyzwyczajeni do ich obowiązywania. Szkoda tylko, zwłaszcza dla bezpieczeństwa przetwarzanych danych osobowych, że nie wszystkie organizacje wdrożyły wymagania opisane w RODO u siebie. Patrząc na wskazane powyżej zagrożenia, powodowane wewnętrznie trudno uwierzyć, że są firmy, które nie zrobiły nic, aby posiadać dobrą strategię ochrony, przetwarzania i bezpieczeństwa danych osobowych. Pamiętajmy, że i owszem najczęściej słyszy się o atakach cybernetycznych i powodach problemów nimi spowodowanych, ale to głównie dlatego, że nikt dokładnie nie przeanalizował schematu tego ataku, bo mógł on się zacząć np. od socjotechnicznego ataku na naszego pracownika, który ujawnił dane dostępowe. Zagrożenia dla organizacji na gruncie bezpieczeństwa informacji w tym danych osobowych mamy zawsze dwa – zewnętrzne i wewnętrzne.
Warto wdrożyć w ramach Systemu Bezpieczeństwa Danych Osobowych strategię ochrony przed zagrożeniami wewnętrznymi…
Dobre wdrożenie RODO już na początku wykaże nam pewne obszary zagrożeń, o które powinniśmy zadbać. Trudno uwierzyć, aby przeprowadzając analizę ryzyka nie zauważyć, że ryzyko występuje również wewnątrz organizacji. To nie tylko Ci źli hakerzy mogą nam coś zrobić, ale również pracownicy o nieczystych intencjach, motywowani często korzyściami finansowymi. Jak najłatwiej zarządzać procesami zagrożeń wewnętrznych? Sugeruje się opracowanie strategii opierającej się o:
- Przygotowanie do planowania strategii ochrony przed zagrożeniami wewnętrznymi;
- Przeprowadzenie oceny ryzyka;
- Oszacowanie zasobów niezbędnych do stworzenia strategii ochrony;
- Uzyskanie wsparcia menadżerów;
- Utworzenie zespołu reagowania na incydenty wewnętrzne;
- Określenie dostępnych środków wykrywania zagrożeń wewnętrznych;
- Zdefiniowanie strategii reagowania na incydenty;
- Zaplanowanie procesu remediacji w przypadki wystąpienia incydentu;
- Edukowanie pracowników;
- Regularne aktualizacje opracowanej strategii ochrony.
Mówiąc o sposobach obrony przed zagrożeniami wewnętrznymi, nie sposób nie wspomnieć też o objęciu krytycznych danych tzw. łańcuchem dowodowym. Czyli szczególnym monitoringiem dokonywanych na nich czynności z uwzględnieniem kto, czego, kiedy i jak dokonał/zmodyfikował.
Nie warto czekać, trzeba zacząć działać od razu…
Każdej z osób odpowiedzialnych za daną organizację często wydaje się, że wszystko w niej działa jak dobrze „naoliwiona maszyna”. Niestety, jeśli organizacja nie przestrzega wszystkich przepisów prawa, a to jest ciężkie do zrobienia bez zewnętrznego wsparcia to może jednak coś nam zaszkodzić. Pamiętajmy, że zadziać może się wszystko, ale odpowiednie organy tylko czekają na nasz błąd, aby nałożyć na nas karę. Chyba lepiej tego uniknąć i nie czekać na zdarzenie, a próbować je przewidzieć i przeciwdziałać. Wspominany wcześniej przypadek GDOŚ pokazuje, że nawet najbardziej zaufany pracownik może nam zaszkodzić. Powodów może być wiele. Często są to potencjalne korzyści finansowe. Może też tak być, że rozstanie z pracownikiem spowoduje czystą chęć zemsty na byłym pracodawcy. Jakimi motywami kierował się pracownik GDOŚ nie wiadomo, ale stać się stało i do naruszenia bezpieczeństwa danych osobowych doszło. Czy można to było przewidzieć? Trudno powiedzieć, ale aby nie stanąć w obliczu podobnego zagrożenia już dzisiaj warto zacząć działać nad dobrą strategią ochrony.
