Wyciek danych – co oznacza i jak się przed nim bronić – część I

Jak pracownicy mogą spowodować wyciek firmowych danych? Jak często takie sytuacje mają miejsce i jakie są ich konsekwencje? Rozpoczynamy serię trzech wpisów „Wyciek danych – co oznacza i jak się przed nim bronić”, które odpowiedzą na te oraz inne pytania związane z ochroną firmowych danych oraz skutkami wycieków danych.

Czym jest wyciek danych?

Wyciek danych to nic innego jak niepożądane umożliwienie dostępu do aktywów organizacji osobom, systemom, procesom które nie są uprawnione do ich pozyskania. Zdarzenie takie bezpośrednio wpływa na zaburzenie podstawowych atrybutów bezpieczeństwa informacji (BI) danej organizacji, tj. poufności, dostępności i integralności (w kontekście normy ISO/IEC 27001).

Do wycieku danych doprowadzają czynniki wewnętrzne lub zewnętrzne.

Do tych wewnętrznych zaliczamy tzw. „błędy ludzkie” pracowników, spowodowane brakiem należytych szkoleń lub wykonywaniem swoich obowiązków w sposób niedbały, bądź niestosowanie się do wewnętrznych procedur lub polityk bezpieczeństwa w organizacjach, co bywa najczęstszym powodem takich zdarzeń.

Bywa także, że do wycieku danych przyczyniają się w sposób świadomy pracownicy, którzy mają prywatne powody, działają w afekcie lub zostali skorumpowani. Takie działania najczęściej skutkują wyprowadzeniem danych przez pracownika, fałszowaniem ich bądź po prostu zniszczeniem.

Kolejnym z powodów, które doprowadzają do wycieku danych jest niesprawność systemów informacyjnych i sprzętowych, która zazwyczaj jest spowodowana ich nieprawidłowym użytkowaniem (brak odpowiednich szkoleń) lub starzeniem się sprzętu/oprogramowania (brak wystarczających środków na modernizację).

Warto również dopisać do czynników zewnętrznych umyślne ataki na systemy informacyjne oraz katastrofy budowlane czy komunikacyjne oraz każdego rodzaju kataklizmy – powodzie, pożary, trzęsienia ziemi czy epidemie. Na te sytuacje jesteśmy w stanie, w pewnym zakresie, zabezpieczyć się, wdrażając w organizacji plany ciągłości działania biznesu (Business Continuity Plan), w oparciu o normę ISO 22301¹.

Jak często się pojawia i jakie są konsekwencje wycieku danych?

Nie ma tygodnia, aby polskie i zagraniczne serwisy informacyjne oraz te traktujące o bezpieczeństwie IT (np. Niebezpiecznik, Zaufana trzecia strona, Sekurak), nie umieszczały informacji o kolejnych podmiotach, które padły ofiarami wycieku.

Coraz mniej firm „zamiata pod dywan” takie incydenty. Wpływ na poważne traktowanie wycieku danych miało Rozporządzenie 2016/679 (dalej: RODO), które od 2018 roku obowiązuje w Polsce. Kary finansowe za ujawnienie danych mogą wynosić nawet do 20 000 000 Euro lub 4% całkowitego obrotu z poprzedniego roku obrotowego.

Należy pamiętać, że każda organizacja przetwarzająca dane osobowe, która określa cele i sposoby przetwarzania tych danych, automatycznie staje się ich administratorem (ADO – administrator danych osobowych) i do jej obowiązków należy m.in. zapewnienie odpowiednich środków technicznych, operacyjnych oraz fizycznych, mających na celu ochronę danych osobowych. Trzeba podkreślić, że wiele osób mając na myśli RODO, ma skłonność do myślenia o wycieku danych tylko w kontekście danych osobowych, a przecież każdy wyciek firmowych danych, w konsekwencji powiązany będzie z wyciekiem danych osobowych i w ten sposób należy go rozpatrywać w kontekście tego rozporządzenia.

Trzeba także pamiętać, że w sytuacji naruszenia podstawowych atrybutów Bezpieczeństwa Informacji, firma ma 72 godziny, aby fakt ten zgłosić do organu nadzorczego.

Podmioty, będące publicznymi, operatorami usług kluczowych czy dostawcami usług cyfrowych muszą takie incydenty zgłaszać znacznie wcześniej - w ciągu 24 godzin od wykrycia naruszenia do właściwego CSIRT GOV², CSIRT MON³ czy CSIRT NASK⁴, zgodnie z ustawą o cyberbezpieczeństwie⁵.

Oprócz kontroli z ramienia organów nadzorczych i ogromnych kar finansowych z tytułu wspomnianych incydentów, organizacje padające ofiarami wycieku danych, narażone są na inne zagrożenia, które często bywają niepoliczalne a ich wpływ trudno oszacować. Do takich konsekwencji należy m.in. kompromitacja organizacji, a więc negatywny wpływ na jej wizerunek.

Wyobraź sobie, że Twoja firma prężnie działa w branży IT, której misją jest uświadamianie w zakresie Bezpieczeństwa Informacji, która szkoli jak prawidłowo zabezpieczać swoje systemy informacyjne, aby zmniejszyć prawdopodobieństwo wycieku, a która sama pada ofiarą takiej sytuacji. Niestety incydent tego typu prawdopodobnie będzie skutkował spadkiem zaufania wśród aktualnych i potencjalnych klientów. Jeśli dodatkowo taka organizacja miała pewne zobowiązania wobec swoich klientów np. ustanowione w umowach o gwarantowanym poziomie świadczenia usług SLA, dodatkowymi skutkami ubocznymi mogą być dotkliwe konsekwencje prawne.

Właśnie z uwagi na wskazane wyżej powody, warto jest zabezpieczyć swoją firmę czy organizację na ewentualność utraty lub wycieku danych i stosować adekwatne do zagrożeń zabezpieczenia.

O tym jakie dane wyciekają, jak zabezpieczyć się przed takimi sytuacjami i co to jest ISO 27001 przeczytacie w kolejnych wpisach z serii „Wyciek danych – co oznacza i jak się przed nim bronić?”. Najbliższy wpis dostępny już za tydzień.

Część druga: Wyciek danych – co oznacza i jak się przed nim bronić – część II.

1) PN-EN ISO 22301 – Bezpieczeństwo i odporność – Systemy zarządzania ciągłością działania.
2) CSIRT GOV – Zespół reagowania na incydenty bezpieczeństwa komputerowego, działający na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego.
3) CSIRT MON - Zespół reagowania na incydenty bezpieczeństwa komputerowego, działający na poziomie krajowym, prowadzony przez Ministra Obrony Narodowej.
4) CSIRT NASK - Zespół reagowania na incydenty bezpieczeństwa komputerowego, działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową.
5) Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.