26 stycznia 2022

Wyciek danych – co oznacza i jak się przed nim bronić – część II

Jak pracownicy mogą spowodować wyciek firmowych danych? Jak często takie sytuacje mają miejsce i jakie są ich konsekwencje? Zapraszamy na drugi wpis z serii „Wyciek danych – co oznacza i jak się przed nim bronić.”

Sprawdź również: Wyciek danych – co oznacza i jak się przed nim bronić – część I.

Jakie dane wyciekają?

Niestety odpowiedź jest aż nazbyt oczywista. Każde, względem których nie zostały zastosowane podstawowe atrybuty bezpieczeństwa.

Najczęściej i jednocześnie najgorzej chronionymi kategoriami danych są imiona i nazwiska (44%), adresy e-mail (20%), dane pracownicze (9%), dane finansowe (17%) – wynika z raportu Związku Firm Ochrony Danych Osobowych (ZFODO)1.

Wśród takich danych często znajdują się numery PESEL, które wbrew rozpowszechnianym informacjom, nie są danymi sensytywnymi, ale w połączeniu z innymi danymi, mogą skutkować ograniczeniem praw i wolności osób fizycznych. Mogą bowiem przykładowo posłużyć do pozyskania kredytów w instytucjach parabankowych lub do uzyskania dostępu do danych o stanie zdrowia, rejestrowania kart przedpłaconych (pre-paid), celem przeprowadzania dalszych działań natury przestępczej czy zawierania różnego rodzaju umów cywilno-prawnych.

Pamiętajmy, że w przypadku wycieku tego typu danych administrator ma określony czas na zgłoszenie tego faktu do organu nadzorczego lub innego odpowiedniego podmiotu. Jeśli jednak incydent powoduje ograniczenia praw i wolności osób fizycznych, administrator ma obowiązek również ten fakt zgłosić podmiotom danych (czyli właścicielom danych, które są przedmiotem incydentu).

Co to jest ISO 27001 i dlaczego firmy się na nie decydują?

ISO/IEC 27001 jest normą międzynarodową, która określa standard dla systemów zarządzania bezpieczeństwem informacji (SZBI/ISMS)2 i w całości dotyczy podejścia do ochrony danych opartego na ryzyku.

Norma ta, jak każda z obszernej rodziny ISO3, opiera się o cykl Deminga4, którego celem jest ciągłe doskonalenie. Cykl ten składa się z 4 etapów: Plan-Do-Check-Act (PDCA).

Proces wdrażania systemu SZBI opiera się na 4 wskazanych etapach:

  1. Plan – ustanowienie SZBI
  2. Do – wdrażanie / eksploatacja SZBI
  3. Check – monitorowanie / przegląd
  4. Act – utrzymanie / doskonalenie SZBI

Ponadto, norma ISO/IEC 27001 zawiera cele zabezpieczeń i ich opisy (w załączniku normatywnym A), które należy stosować dla ochrony aktywów i chronić np. przed ich wyciekiem. Załącznik A składa się z 14 podstawowych domen (oraz 114 zabezpieczeń), które mają wpływ na poziom bezpieczeństwa informacji:

  • Polityki bezpieczeństwa informacji
  • Organizacja bezpieczeństwa informacji
  • Bezpieczeństwo zasobów ludzkich
  • Zarządzanie aktywami
  • Kontrola dostępu
  • Kryptografia
  • Bezpieczeństwo fizyczne i środowiskowe
  • Bezpieczna eksploatacja
  • Bezpieczeństwo komunikacji
  • Pozyskiwanie, rozwój i utrzymanie systemów
  • Relacje z dostawcami
  • Zarządzanie incydentami związanymi z bezpieczeństwem informacji
  • Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
  • Zgodność (z prawem)

Aby zapewnić zgodność z normą ISO/IEC 27001, należy wprowadzić zabezpieczenia zgodnie z załącznikiem A.

Zaletą normy jest jej kompleksowe podejście do Bezpieczeństwa Informacji, które realizowane jest na poziomie fizycznym, technicznym, osobowym oraz prawnym. Norma jest zbiorem wytycznych. Nie określa konkretnych wymagań technicznych, ale wskazuje obszary, które wymagają zaopiekowania.

To, w jaki sposób zabezpieczymy wskazane obszary, wynikać będzie z przeprowadzonej analizy ryzyka, która zwykle ma charakter subiektywny i musi być przeprowadzana cyklicznie oraz w sytuacjach, które tego wymagają. Wyniki analizy ryzyka wskażą obszary podatne na zmaterializowanie się ryzyka i będą bazą do zastosowania odpowiednich zabezpieczeń.

Nie wszystkie organizacje muszą podchodzić do certyfikacji i podlegać corocznym audytom nadzoru, aby prowadzić sprawny system SZBI. Sama certyfikacja wdrożonego systemu SZBI jest jedynie i aż „wisienką na torcie”. Należy pamiętać jednak że są podmioty, które podlegają audytom w ramach SZBI. Mowa o podmiotach publicznych na podstawie Rozporządzenia KRI5.

Jednakże, wdrożenie i utrzymywanie certyfikowanego systemu SZBI daje organizacjom wiele korzyści, m.in. wzmocnienie wizerunku organizacji, wzrost zaufania wśród aktualnych i potencjalnych klientów, spełnienie wymogów prawnych, budowanie świadomości Bezpieczeństwa Informacji wśród własnych pracowników, a także sprawniejszą ochronę aktywów. Co więcej, wdrożenie systemu SZBI może znacząco wpływać na koszty poniesione w ramach zabezpieczeń, ponieważ będą one dostosowane do konkretnych ryzyk, które zostaną przez organizację zidentyfikowane, ponieważ nie będą one przewymiarowane.

Obejrzyj webinar

Jak zapobiegać wyciekowi danych i jakie są rekomendowane działania zabezpieczające dla przedsiębiorstw przedstawimy w kolejnym tygodniu, w ostatnim już wpisie z serii „Wyciek danych – co oznacza i jak się przed nim bronić.”

1) Źródło: https://www.zfodo.org.pl/wp-content/uploads/2020/02/raport_zfodo_naruszenia-16.02.20.pdf
2) SZBI – System Zarządzania Bezpieczeństwem Informacji | ISMS – Information Security Management System

3) International Organization for Standarization: www.iso.org. Organizacja pozarządowa, która zrzesza krajowe organizacje normalizacyjne
4) William Edwards Deming – twórca cyklu PDCA
5) Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych

Autorem tekstu jest Karolina Kraśniewska

Karolina Kraśniewska
CISA data protection officer | ISO/IEC 27001 auditor

Masz pytania?
Skontaktuj się ze mną:
krasniewska.k@dagma.pl