Najczęstsze incydenty ochrony danych osobowych

Najczęstsze incydenty ochrony danych osobowych ra2 studio - Fotolia

Podczas audytów ochrony danych osobowych często pytamy kontrolowane podmioty o występowanie u nich incydentów związanych z ochroną danych osobowych czy bezpieczeństwem informacji. Zazwyczaj padają odpowiedzi, że nic takiego nie miało miejsca.

Często jednak, już po kilku pytaniach uzupełniających okazuje się, że takie incydenty się zdarzały i to dość często, ale nikt ich nie zauważał. Jak to możliwe? Po prostu, większość osób, słysząc o incydentach ochrony danych, ma jednoznaczne skojarzenia z dużym skandalem, krzykliwymi nagłówkami prasowymi i państwowymi kontrolami. Tymczasem większość incydentów nie jest aż tak spektakularna, choć niemniej groźna. O tym, jakie incydenty związane z bezpieczeństwem informacji zdarzają się najczęściej w polskich przedsiębiorstwach i organizacjach.

Sprawdź również nasz darmowy poradnik: Ochrona danych osobowych w reformie krajowej i unijnej 2015

Podobne artykuły:

Zacznijmy od tego, czym w ogóle jest incydent związany z bezpieczeństwem informacji. Otóż, zgodnie z definicją normy PN-ISO/IEC 27001, jest to pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji. Tyle teoria, a w praktyce…

Korespondencja elektroniczna

Wśród najczęściej pojawiających się incydentów pierwsze miejsce zdecydowanie zajmuje niewłaściwie zaadresowana poczta elektroniczna. Typowe jest korzystanie z przydatnej funkcji zapamiętywania adresów w programie pocztowym. W założeniach ma ona pomóc w wyeliminowaniu błędów, jakie pojawiają się przy ręcznym wprowadzaniu adresu odbiorcy. Okazuje się jednak, że użytkownicy często tracą czujność i nie sprawdzają podpowiadanego przez program adresu. Może to spowodować wysłanie wiadomości do niewłaściwego adresata – np. zamiast do Jana Nowaka z firmy X mail trafia do podpowiedzianego przez system Jana Nowackiego z firmy Y. Konsekwencje mogą być różne, w zależności od treści przesłanej wiadomości. Zdecydowanie zalecamy więc ostrożność!

Innym częstym naruszeniem bezpieczeństwa danych w korespondencji elektronicznej jest niewykorzystywanie opcji „kopii ukrytej” (ang. Blind Carbon Copy, BCC), czyli nieukrywanie poszczególnych odbiorców wiadomości (poza głównym). Skala incydentu zależy oczywiście od ilości adresatów – w przypadku mailingu do 100 tys. odbiorców jest naprawdę poważna. O tych największych zdarzeniach słyszymy dość często, jednak trzeba mieć świadomość, że wychodzą one na światło dzienne dopiero wówczas, gdy ich skala jest naprawdę ogromna i nie da się już nic ukryć. W przypadku upublicznienia kilku adresów najczęściej nic się nie dzieje. Adresaci nie zwracają na to uwagi lub po prostu nie chcą tracić czasu na bezsensowne, ich zdaniem, zgłoszenia. Osoby, które takiego maila wysłały również nikogo o tym fakcie nie informują i udają, że nic się nie stało – prawdopodobnie z obawy przed karą lub śmiesznością. Czy jednak rzeczywiście taki „niezauważony” incydent pozostaje bez konsekwencji? Czasem tak, jednak może się również okazać, że będzie on miał negatywny wpływ na wizerunek firmy czy organizacji. Osoby niezadowolone z tego, jak potraktowano ich dane osobowe mogą na przykład opublikować przesłaną wiadomość w internecie z ironicznym komentarzem: Tak „chroni się” dane w firmie XYZ. Warto mieć to na uwadze!

Utrata nośników danych

Nieco rzadziej występującym incydentem jest utrata (zagubienie, kradzież) telefonu, laptopa, pamięci przenośnej, a nawet torby czy teczki z danymi w wersji papierowej.
W przypadku kradzieży sprzętu elektronicznego, skupiamy się najczęściej jedynie na utracie materialnej wartości sprzętu, nie zwracając uwagi na dane, które się na nim znajdowały. Dopiero później pojawiają się obawy o bezpieczeństwo danych i wątpliwości, czy twardy dysk laptopa jest szyfrowany lub czy można zdalnie usunąć dane z telefonu komórkowego. Dużym problemem dla poszkodowanego podmiotu może być brak właściwej kontroli nad sprzętem – często pracownicy korzystają ze swoich prywatnych laptopów, telefonów, itp. Jak wynika z policyjnych statystyk, zdecydowanie częściej giną telefony komórkowe niż laptopy. Jeżeli jest to zwykły telefon, utrata danych jest stosunkowo niewielka (książka kontaktowa), jednak gdy jest to smartfon ze skonfigurowaną skrzynką pocztową, wówczas sytuacja staje się już dużo poważniejsza. Skrzynka pocztowa, a konkretnie służbowy adres mailowy, bywa kluczem np. do intranetu firmowego lub systemu CRM (opcja przypominania hasła).

Podobne artykuły:

Inną grupą nośników danych, które często znikają z naszych zasobów są zwykłe kartki, teczki czy też segregatory z danymi. Do incydentów związanych z ich utratą dochodzi najczęściej w siedzibie podmiotu, np. w wyniku niefrasobliwości pracowników, którzy pozostawiają osoby postronne bez nadzoru w miejscach, gdzie takie dane są łatwo dostępne. Taka osoba może zabrać teczkę lub segregator z danymi, a ich właściciel najczęściej dowie się o tym dopiero po jakimś czasie, gdyż nikt nie będzie podejrzewał kradzieży danych. Tego typu utrata danych grozi również roztargnionym podróżnym, którzy chcąc wykorzystać wolny czas w podróży służbowej, przeglądają firmowe dokumenty, a później zwyczajnie zapominają zabrać je z pociągu, autobusu czy dworca.

Niezależnie od rodzaju nośnika danych i sposobu jego utraty, każdy z przypadków należy jak najszybciej zgłosić swojemu administratorowi bezpieczeństwa informacji. Ważne, aby uczulić na to swoich pracowników.

Nieuprawnione udostępnienie danych

Udostępnianie danych osobowych budzi coraz więcej pytań i kontrowersji. Kiedy udostępniać? Komu udostępniać? Na jakiej podstawie? Otóż, powszechnie uznaje się, że udostępnienie danych polega na wręczeniu komuś kartki papieru zawierającej dane osobowe. W praktyce jednak taka forma występuje już niezwykle rzadko. Najczęściej przekazywanie danych następuje poprzez zdalne dostępy (np. VPN) przydzielane niekiedy bezterminowo (np. pracownikom czy serwisowi IT). Należy przy tym pamiętać, aby udostępniać poszczególne dane tylko tym osobom, które faktycznie na nich pracują, a także aby odbierać dostęp tym, którzy już go nie potrzebują, np. byłym pracownikom. Podczas przeprowadzanych audytów często okazuje się, że konta systemowe i mailowe poszczególnych pracowników są nadal aktywne, mimo że dana osoba już dawno w firmie nie pracuje. Takie zaniedbania już same w sobie są incydentem, gdyż nie mamy realnej kontroli nad tym kto ma dostęp do naszych danych. A weźmy pod uwagę, co się może stać, gdy osoba nieuprawniona zechce wykorzystać swój dostęp w złych intencjach…

Poza elektronicznym dostępem do danych, popularny jest również kanał telefoniczny. W dobie wyłudzeń informacji z wykorzystaniem różnego rodzaju socjotechnik telefon jest jednak obecnie najbardziej niebezpiecznym urządzeniem przekazywania danych. Wyobraźmy sobie, że nasz rozmówca przedstawia się jako urzędnik skarbowy lub inspektor GIODO i prosi nas o różne dane. Wiele osób w takich sytuacjach dane po prostu przekazuje, bez właściwej weryfikacji rozmówcy. W ten sposób wyłudzane są przeróżne dane – dostęp do firmowej sieci (rozmówca podaje się za korporacyjnego informatyka) czy wysokość wynagrodzeń poszczególnych pracowników (komornik lub pracownik banku). Ogromna część tego typu incydentów pozostaje jednak niezidentyfikowana, gdyż źródłem wycieku są najczęściej pracownicy, którzy nie informują nikogo o takich zdarzeniach, zarówno ze względu na niską świadomość dotyczącą ochrony danych, jak też zapewne w obawie przed konsekwencjami.

Podobne artykuły:

Nieodpowiednie techniki usuwania danych

Powszechną praktyką w niemal każdej firmie jest wyrzucanie podręcznych notatek czy nawet dokumentów do zwykłych koszy na śmieci. Niektórzy zdają się myśleć, kilkukrotne przedarcie kartki sprawi, że z danego dokumentu nic nie będzie można odczytać. Gdyby jednak tak było, zapewne nie powstałyby niszczarki. Tymczasem okazuje się, że nawet w podmiotach, które dysponują niszczarkami, korzysta się z nich niezwykle rzadko. Trudno zrozumieć dlaczego… Warto wiedzieć, że dane przechowywane w wersji papierowej muszą być pod kontrolą również wówczas, gdy są niszczone. Zdecydowanie polecamy więc niszczarki!

Coraz powszechniejszą formą utylizacji dokumentów, jest wykorzystywanie do tego celu wyspecjalizowanych firm zewnętrznych, które dostarczają do pomieszczeń biurowych specjalne pojemniki na dokumenty do usunięcia. Zanim jednak zdecydujemy się na konkretną firmę i powierzymy jej usuwanie naszych danych, warto ją dokładnie sprawdzić, gdyż może się okazać (a takie przypadki już miały miejsce!), że dane, które miały być spalone lub rozdrobnione, trafią do przydrożnego lasu.

Na koniec warto jeszcze wspomnieć o usuwaniu danych z nośników elektronicznych – telefonów czy komputerów. Często z niewiedzy, wygody lub nawet lenistwa użytkownicy jedynie formatują lub defragmentują urządzenie przed przekazaniem go poza organizację, np. do serwisu naprawczego. Okazuje się jednak, że to jedynie pozorne wykasowanie danych. W praktyce osoby postronne mogą w łatwy sposób je odtworzyć i wykorzystać. Aby właściwie usunąć dane należy skorzystać ze specjalnego oprogramowania do usuwania danych lub, w ostateczności, dwukrotnie zapisać nośnik treścią niezawierającą danych osobowych, a następnie usunąć całą zawartość.

Sprawdź również nasz darmowy poradnik: Ochrona danych osobowych w reformie krajowej i unijnej 2015

Sprawna komunikacja i czynnik ludzki

Większości z powyższych incydentów można z powodzeniem uniknąć lub znacznie ograniczyć ich negatywne skutki poprzez faktyczne wdrożenie procedur określonych w dokumentacji ochrony danych osobowych. Wystarczy regularnie szkolić pracowników przetwarzających dane i na bieżąco weryfikować, czy wdrożone procedury faktycznie działają, np. poprzez audyt ochrony danych. Ważnym elementem jest również uświadomienie pracownikom istoty ochrony informacji oraz konieczności zgłaszania wszelkich zaistniałych incydentów. Warto też jasno określić, z kim i w jaki sposób każdy pracownik powinien się w tej sprawie kontaktować. Bez sprawnej komunikacji z osobą odpowiedzialną za nadzór nad systemem ochrony danych trudno liczyć na właściwe bezpieczeństwo przetwarzanych danych.

ODO 24 Sp. z o.o. Konrad Gałaj-Emiliańczyk