Aż 80% firm traci dane w wyniku błędów pracowników lub złośliwych działań. W jaki sposób się przed tym zabezpieczyć? Wywiad w Gazecie Wyborczej

Jeśli pracownicy nie potraktują danych z odpowiednią starannością, a firma czy instytucja nie wdroży należytych rozwiązań, mogą one w łatwy sposób zostać utracone – tłumaczy w rozmowie z Gazetą Wyborczą Mateusz Piątek, ekspert ds. bezpieczeństwa danych w Safetica. Wywiad pochodzi z ogólnopolskiego dodatku „Cyberbezpieczeństwo”, który ukazał się 12 lipca 2022.

Do najbardziej spektakularnych przypadków utraty danych dochodzi w wyniku ataków cyberprzestępców. Na ile kosztowne mogą być jednak wycieki od wewnątrz organizacji, kiedy nie ma żadnego włamania?

Odpowiadając wprost – bardzo kosztowne. W praktyce, mamy trzy rodzaje konsekwencji. Z jednej strony to kara nałożona przez GIODO w wysokości do 20 milionów euro lub do 4% całkowitego rocznego obrotu firmy z poprzedniego roku i takich kar jest całkiem sporo. Najwyższa do tej pory w Polsce to 1 mln euro. Z drugiej strony, straty wizerunkowe są często nie do oszacowania i mogą prowadzić nawet do upadłości firmy. Jeśli wyciek stanowi know-how naszej firmy, to realnie mamy spory problem na rynku. Zagrożone tym ostatnim elementem są szczególnie firmy z branży turystycznej, spedycyjnej czy projektowej – gdzie wyciek baz klientów, kontrahentów czy projektów stanowi ogromny kłopot dla biznesu.

Wg raportu Instytutu Ponemon liczba wycieków w wyniku nierozważnego lub celowego działania pracowników wzrosła aż o 44% w ciągu ostatnich 2 lat. Czym to jest spowodowane?

Powodów jest wiele. Dynamicznie rośnie liczba przetwarzanych danych, jako pracownicy i pracodawcy bagatelizujemy konieczność stosowania określonych zabezpieczeń, a szkolenia mogą być niewystarczające. Jest jeszcze wątek społeczny, w którym sprawdza się maksyma  „mądry Polak po szkodzie” – zazwyczaj za ochronę danych zabieramy się, kiedy jest już po fakcie. Są jeszcze normy prawne, które wymuszają zgłaszanie incydentów i wzrost świadomości konsumentów w zakresie ich praw. Dlatego zgłaszanych naruszeń jest więcej niż w poprzednich latach.

W jaki sposób firmy czy instytucje najczęściej tracą swoje dane?

Najczęściej do wycieku dochodzi w sposób nieumyślny – wysłanie e-maila do niewłaściwej osoby, skopiowanie danych na nieszyfrowany pendrive z dobrą intencją (np. dokończenie pracy w domu), a następnie zgubienie go. I o takich przypadkach zazwyczaj wiadomo. Pamiętajmy jednak, że sytuacji gdzie dane wyciekają w sposób celowy, może być dużo więcej niż zgłoszonych, ponieważ instytucja przez długi czas o tym nie wie. Albo nigdy się nie dowie. Mogą to być np. bazy handlowe zabierane przez odchodzących pracowników.

Czy tylko duże firmy, które zatrudniają tysiące ludzi i gromadzą ogromne zasoby, powinny obawiać się wycieku i wprowadzać zabezpieczenia?

Oczywiście, że nie. Załóżmy na potrzeby tej rozmowy, że potrzebujemy skorzystać z usług doradcy finansowego. Wspomniany doradca pracuje dla firmy zatrudniającej 10 osób. I z takiej firmy dochodzi do wycieku danych. Jakie są konsekwencje? Dane, na które potencjalnie można wziąć kredyt stają się publicznie dostępne, ponieważ firma nie potraktowała poważnie konieczności ich zabezpieczenia.

Jak powinien wyglądać proces zabezpieczenia danych w organizacji?

Zacząłbym od kilku rzeczy. Szkolenia pracowników – ponieważ zwiększenie świadomości to podstawowa zasada bezpieczeństwa. Następnie wykonania audytu, aby wiedzieć jakie dane są gromadzone, gdzie i kto ma do nich dostęp oraz określenia zasad, w jaki sposób z danymi postępować. Kolejnym krokiem będzie wdrożenie rozwiązania DLP w zakresie monitorowania aktywności na plikach. Na początku drogi przy zabezpieczeniu danych, chciałbym wiedzieć jakie pliki opuszczają organizację i czy w tych plikach znajdują się dane, które powinny być chronione. Dopiero mając tę wiedzę, można wdrażać odpowiednie polityki bezpieczeństwa pozwalające zablokować wyciek danych na zewnątrz organizacji.

W jaki sposób Safetica pomaga firmom i instytucjom zabezpieczyć się przed utratą danych?

Po pierwsze, dostarcza wiedzy administratorowi o tym, kto i na jakich plikach pracuje oraz co się z nimi dzieje. Po drugie – edukuje pracownika. Umożliwia to pracę w trybie informowania, że dana czynność jest niezgodna z polityką bezpieczeństwa, ale to pracownik ma prawo do podjęcia ostatecznej decyzji w tym zakresie. Po trzecie, pozwala na klasyfikację dokumentów, nie tylko bazując na ich treści, ale także ich pochodzeniu i randze. I wreszcie ostatni, chyba najważniejszy element. Safetica daje możliwość zabezpieczenia danych przed wyciekiem z większości możliwych wyjść (USB, chmura, www, poczta itd.). To, co odróżnia Safetice na polskim rynku to fakt, że jest bardzo prosta i intuicyjna w obsłudze dla administratora, za co jest ceniona przez naszych klientów.