Szkolenia to podstawa.

szkolenia wyciek danych osobowych RODO IOD

Rozważania na szybko: Coraz częściej mają miejsce wycieki danych osobowych i nasuwa się pytanie – co jest ich najczęstszą przyczyną i jak możemy temu zapobiec? Jedna z odpowiedzi to pracownicy i współpracownicy są najsłabszymi ogniwami w ochronie danych osobowych. A szkolenia dla nich to podstawa.

Dlaczego człowiek jest najsłabszym ogniwem w procesie ochrony danych osobowych?

Brak odpowiedniego finansowania procesów związanych z bezpieczeństwem przetwarzanych danych osobowych jest najczęstszą, pośrednią przyczyną występowania naruszeń danych osobowych. Od oszczędności na szkoleniach (ich jakości, długości/programie, cykliczności, doświadczeniu prowadzącego), oprogramowaniu, sprzęcie poprzez zatrudnianie niewykwalifikowanych pracowników na stanowiskach, które mają bezpośredni wpływ na bezpieczeństwo danych osobowych (administratorzy systemów informatycznych, pracownicy działu IT). Organizacje, ograniczając swoje wydatki na bezpieczeństwo danych osobowych, ryzykują zwiększenie szansy powstania wycieków danych osobowych, poprzez błędy ludzkie lub słabo zabezpieczone systemy.

Oszczędności….

Organizacje szukając oszczędności często delegują lub łączą stanowisko odpowiedzialne za ochronę danych osobowych (np.: ABI) z innymi już istniejącymi stanowiskami (pracownicy kadr, kierownicy czy informatycy). W takiej sytuacji napotykamy na często powtarzający się problem, kiedy pracownik wykonujący swoje główne obowiązki (np.: informatyka) nie ma już czasu na zajmowanie się kwestiami związanymi z ochroną danych osobowych tj. śledzenie zmian w prawie, szkolenie nowych pracowników, przeprowadzenie audytów, aktualizowanie dokumentacji przetwarzania danych osobowych itp.

Kwestia oszczędności na szkoleniach to złożony temat. W zależności od „wielkości” firm podejście do szkoleń może być trochę inne. Szkolenie dla małych firm (mała liczba pracowników – kilka/kilkanaście osób) wiąże się z przeszkoleniem np.: wszystkich osób na raz – co powoduje „paraliż firmy” w czasie szkolenia, a rozbicie szkoleń na małe grupki może podnieść koszt takiej usługi. Aby obniżyć koszt szkolenia, firmy nie dobierają szkolenia pod kątem merytorycznym, ale „aby tylko jakieś było i najtaniej”, co oczywiście wpływa negatywnie na jakość takich szkoleń a co za tym idzie na wiedzę uczestników czyli osób które później będą w danej firmie będą przetwarzały dane osobowe.

Szkolenia w dużych firmach (duża ilość pracowników – powyżej kilkuset) mogą powodować czasowe obniżenie wydajności poszczególnych działów ze względu na brak osób, odpowiedzialnych za konkretne działania lub procesy. Dodatkowo dochodzi często konieczność ściągnięcia pracowników z różnych rejonów kraju czy nawet zagranicy co dodatkowo wydłuża czas potrzebny na odbycie szkolenia, a co za tym idzie podnosi koszty. Z tego powodu większe organizacje sięgają po szkolenia e-learnigowe, gdzie pracownik sam zapoznaje się z materiałami szkoleniowymi i później rozwiązuje test weryfikujący wiedzę. To rozwiązanie jest odpowiednie przy szkoleniu pracowników, którzy dopiero zaczynają pracę jednak nie jest ono w stanie w pełni zastąpić szkoleń warsztatowych i wykładowych, które prowadzi doświadczony wykładowca. Szkolenia dla kadry zarządzającej i pracowników którzy na co dzień przetwarzają dane osobowe powinny zostać przeprowadzone w formie wykładowej lub warsztatowej – gdzie pracownicy mogą na bieżąco się zadawać pytania i wyjaśniać wątpliwości.

Czemu szkolenia?

Szkolenia mają na celu przekazanie wiedzy dotyczącej ochrony danych osobowych oraz uświadomienie pracowników jaka w związku z tym spoczywa na nich odpowiedzialność. Informacje przekazywane w ramach szkoleń dotyczą przede wszystkich sposobów zapewnienia bezpieczeństwa przetwarzanych danych i uczą pracowników prawidłowych zachowań (np.: prawidłowego zabezpieczania maili z wysyłanymi danymi osobowymi, niszczenia dokumentów, archiwizowania dokumentów, odpowiedniej ochrony laptopów czy telefonów, sprawdzenie adresatów podczas wysyłki maili, sprawdzenie przed wyjściem z pracy czy komputer jest wyłączony i drzwi pozamykane).

Dlaczego szkolenie pracowników z zakresu ochrony danych osobowych jest takie ważne? Błąd pracownika może spowodować wyciek danych, co z kolei może skutkować kontrolą organu nadzorczego, grzywną (karą finansową w przyszłości), koniecznością zapłaty odszkodowań lub zadośćuczynień dla osób których dane zostały ujawnione, utratą zaufania klientów i kontrahentów. Im więcej danych osobowych jest wykorzystywanych w działalności firmy, tym wyższe jest ryzyko ludzkiego błędu, który może spowodować ujawnienie danych osobowych osobom nieupoważnionym. Dodatkowo warto podkreślić, że szkolenie jest to jedyny sposób przed zabezpieczeniem się na bardzo niebezpieczne ataki socjotechniczne poprzez wytworzenie świadomości potencjalnego zagrożenia u pracowników.

Decyzje z konsekwencjami.

Kluczowe znaczenie dla bezpieczeństwa danych osobowych ma świadomość osób decyzyjnych w firmie. To one decydują o budżecie firmy. Wprowadzenie rozwiązań z zakresu ochrony danych osobowych stanowić może istotny wydatek (szczególnie jeżeli firma przygotowuje się do spełnienia warunków z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE w skrócie RODO), dlatego tak ważne jest aby wydatki na ochronę danych osobowych (szkolenia, audyt, konieczność zmian w systemach informatycznych itp.) zostały uwzględnione już na etapie planowania budżetu firmy na przyszły rok.

Szkodliwe dla bezpieczeństwa danych w firmie, jest podejście polegające na bagatelizowaniu ryzyka wystąpienia naruszenia danych osobowych, w tym wycieku danych, bazujące na przeświadczeniu, że do tej pory naruszenie nie miało miejsca. Żadne działania nie cofną (mogą jedynie zminimalizować skutki) i nie naprawią wycieku już ujawnionych danych – a co za tym idzie nie uchronią przed konsekwencjami wycieku. Niezbędne dla minimalizowania ryzyka związanego z wyciekiem danych są działania prewencyjne.

Brak profesjonalizmu.

Niewykwalifikowani pracownicy działów informatycznych, niezależnie czy zatrudnieni w firmie czy działający na ramach usług outsourcingowych, mogą stanowić duże zagrożenie dla bezpieczeństwa danych osobowych. Błędy popełnione przy zabezpieczaniu baz z danymi osobowymi stanowią najgłośniejsze sprawy opisywane i nagłaśniane przez media, a wycieki takich danych często dotykają dziesiątek lub setek tysięcy osób. Wiąże się to najczęściej z umożliwieniem dostępu do bazy klientów poprzez stronę firmową. W zależności od tego jakie dane firma przetwarza, najbardziej groźne są informacje, które umożliwiają zaciągnięcie zobowiązań finansowych podszywając się pod osoby których dane były pomyłkowo udostępnione lub dane wrażliwe dotyczące stanu zdrowa, poglądów politycznych czy wyznania. Dużymi uchybieniami ze strony działów IT są również niedostateczne zabezpieczenia komputerów i systemów informatycznych przed szkodliwym oprogramowaniem czy atakami hackerów.

Pracownik odpowiedzialny za wyciek danych osobowych, niezależnie czy był to błąd, zaniedbanie lub działanie umyślne – może zostać pociągnięty do odpowiedzialności dyscyplinarnej wynikającej z przepisów kodeksu pracy i odpowiedzialności przewidzianej przez przepisy ustawy o ochronie danych osobowych.

Zapewnianie pracownikom szkoleń z ochrony danych osobowych jest koniecznym elementem budowania ich świadomości w zakresie bezpieczeństwa danych osobowych i niezbędnym krokiem do przeciwdziałania wyciekom danych osobowych.

 

Uwaga na fałszywe wiadomości o kontroli GIODO!

Uwaga na fałszywe wiadomości o kontroli GIODO!

Na stronie GIODO: http://www.giodo.gov.pl/pl/259/10050 została umieszczona informacja o podejrzanych fałszywych wiadomościach/mailach:

„Dzisiaj wiele kancelarii prawnych otrzymało informację o planowanej kontroli Generalnego Inspektora Ochrony Danych Osobowych. UWAGA – wiadomość nie pochodzi od GIODO! Maile nie zostały wysłane z serwera GIODO. Ostrzegamy przed otwieraniem podejrzanej korespondencji podszywającej się pod GIODO. Niebezpieczna wiadomość zawiera złośliwe oprogramowanie szyfrujące dane na komputerze i żądające opłaty za klucz pozwalający na ich odkodowanie (ransomware). Prosimy więc o zachowanie szczególnej ostrożności w sytuacji, kiedy otrzymacie Państwo taką podejrzaną wiadomość wysłaną z adresu przypominającego adres kancelarii GIODO – nadawcą wiadomości jest bowiem adres kanelaria@giodo.gov.pl. Jednocześnie zaleca się zwiększenie ostrożności w trakcie korzystania z poczty elektronicznej oraz otwierania przesłanych załączników np. z dokumentami MS Office, które mogą zawierać makra JavaScript lub PowerShell, za pomocą których złośliwe oprogramowanie może zostać pobrane.”

w dniu 26-06-2017:

Pragniemy poinformować, że nie tylko kancelarie prawne ale i inne firmy otrzymały takie maile. Chcemy przypomnieć o środkach bezpieczeństwa i o zachowaniu szczególnej ostrożności przy otwieraniu wszelakich załączników oraz przy uruchamiani linków zawartych w mailach z „podejrzanego pochodzenia” nie tylko w wiadomościach służbowych, ale i w prywatnej korespondencji też.

Niepotwierdzone źródła podają, że po uruchomieniu złośliwego oprogramowania z maila, dane na komputerze zostają zaszyfrowane. Sprawcy żądają za kod/hasło do odszyfrowania 200 $.

Wyciek danych- aspekty prawne, organizacyjne i techniczne

Atak ukierunkowany, łamanie haseł, włamanie do sieci, phishing, ataki typu DDoS to tylko niektóre przykłady incydentów z szerokiego spektrum cyberprzestępczości, których konsekwencją może być wyciek danych. Przyczyny sukcesu ww. działań wydają się różnorodne. Do najczęściej spotykanych zaliczamy opieszałość w przestrzeganiu podstawowych procedur bezpieczeństwa informacji czy zachowania polegające na nieumyślnym udostępnieniu danych. Przedmiotem niniejszego opracowania jest analiza ostatnich przypadków wycieków danych. Zastanowimy się, dlaczego dochodzi do takich wypadków i co robić, aby ograniczyć ryzyko ich powstania w przyszłości. Poniżej przedstawię kilka przykładów, które stanowią tylko medialny szczyt góry lodowej.

Postęp technologiczny i luki prawne diametralnie zmieniają podejście do cyberprzestępczości. Punktem wyjścia wszelkich rozważań jest teza, iż na wycieki informacji najbardziej narażone są firmy z branży medycznej i bankowości. Wynika to ze specyfiki przechowywanych przez nie danych. Wrażliwe informacje, które posiadają, stają się przedmiotem wyłudzeń na szeroką skalę. Dlaczego tak właśnie jest? Oczywiście chodzi o wartość materialną tego typu danych na rynku.

Na każdym kroku słyszymy o kolejnej aferze związanej z wyciekiem danych. Skala procederu w tym zakresie wydaje się ogromna. W ostatnim czasie na łamach jednego z tygodników pojawiła się informacja, iż włoska firma Hacking Team, zajmująca się tworzeniem oraz sprzedażą specjalistycznego oprogramowania szpiegowskiego, wykorzystywanego przez wiele krajów (w tym polskie CBA) i służb specjalnych została zaatakowana przez hakerów. Przedmiotem wycieku stały się listy klientów, serwerów oraz hasła do wielu kont. Kwestią odrębną jest sprzedaż systemu do państw, które nagminnie łamią podstawowe prawa człowieka. Zagadnienie te nie będzie jednak przedmiotem dłuższej refleksji. Zaniepokojenie budzi fakt, że używane hasła nie były zbyt skomplikowane i bardzo często się powtarzały.

Pytanie w tym momencie nasuwa się samo. Dlaczego tak wyspecjalizowana w obszarze bezpieczeństwa firma nie stosuje się do podstawowych wymogów w tym zakresie? Zadaliśmy to pytanie Pawłowi Janiszewskiego – ekspertowi bezpieczeństwa systemów informatycznych Auraco sp. z o.o. (firmy zajmującej się doradztwem w obszarze ochrony danych osobowych). Oto jego komentarz.

Moim zdaniem wynika to z 2 powodów. Po pierwsze, firmy zajmujące się bezpieczeństwem często same we własnej organizacji mają problemy z tego typu zagadnieniami. Są one bowiem przekonane, że w związku z tym czym się zajmują, nie grozi im żadne niebezpieczeństwo. Oczywiście jest to nieprawda. Wielokrotnie mogliśmy obserwować tego typu sytuacje, np. doklejanie złośliwego kodu do programów komputerowych służących w intencji ich twórców do zapewnienia bezpieczeństwa. Druga przyczyna to brak poszanowania procedur bezpieczeństwa i okresowych weryfikacji stopnia ich skuteczności. Procedury to, najskuteczniejszy jaki do tej pory wymyślono, środek służący zachowaniu określonych standardów bezpieczeństwa. Aby procedury działały – konieczne jest ich szanowanie i stosowanie przez ścisłe kierownictwo organizacji oraz prowadzenie okresowych, profesjonalnych audytów. Jeśli „sam szef” się do nich nie stosuje to jest to sygnał dla pracownika, że najwidoczniej nie jest to ważne. W dzisiejszych czasach kwestia odpowiedniego zabezpieczenia danych to nie tylko wyraz korporacyjności i wielkości organizacji, ale środek służący realizacji celów biznesowych – utrzymania i pozyskiwania nowych klientów. – Paweł Janiszewski

Kolejny przykład wycieku danych to przedsiębiorstwo oferujące usługi dietetyczne Fit and Eat. Wyciek obejmował dane bardzo znanych osób, w tym ich adresy, kody do furtek na klatki, informacje o przebytych chorobach oraz urazach. Pole roszczeń cywilnoprawnych w tym zakresie wydaje się mieć ogromny potencjał. Mamy do czynienia z wyciekiem danych wrażliwych, które w konsekwencji stanowią naruszenie newralgicznych dóbr osobistych. Nieodzownym elementem przy omawianej sprawie wydaje się również zakres odpowiedzialności w aspekcie społecznym. Utrata renomy firmy, brak zaufania w oczach obecnych i potencjalnych klientów wydaje się jedną z większych bolączek dobrze prosperującej firmy.

Włamania do systemów informatycznych zdarzają się także w sektorze bankowym. W ostatnim czasie mieliśmy do czynienia z bezprecedensową sprawą dotycząca wycieku danych klientów jednego banków. Informacja o hakerskim incydencie szybko nabrała rozgłosu. Zaciekawienie wzbudza fakt, że na pewnym etapie sprawy haker żądał 200 tys. na dowolny dom dziecka. Kilka minut wystarczyło by w Internecie opublikowano dane osobowe klientów biznesowych w zakresie imienia, nazwiska, adresu zamieszkania i adresu e-mail, numeru dowodu, PESEL oraz wartości sald łącznie z historią transakcji. Komunikat banku dotyczący bezpieczeństwa danych zbudził strach klientów. Treść oświadczenia wskazywała, że w I kwartale roku 2015 r. doszło do przestępczego ataku grupy hakerów. Po raz kolejny wytknięto mankamenty w sferze bezpieczeństwa.

Kolejna kwestia jaka wymaga dłuższej refleksji dotyczy szerzącego się trendu, a mianowicie zdalnego dostępu do danych. Zbyt dużym stopniem zaufania obdarza się pracowników lub współpracowników mających zdalny dostęp do sensytywnych danych. Wielokrotnie zaufanie to jest nadużywane. Wyprowadzenie baz danych czy szeroko rozumiane działanie na niekorzyść firmy stają się procederem na porządku dziennym. Wielu ekspertów twierdzi, że zagrożenia „z wewnątrz” są zmorą wielu organizacji. Właściwym rozwiązaniem w tej sytuacji wydaje się wprowadzenie inteligentnego systemu monitorowania sesji zdalnych, którego zadaniem będzie wsparcie administratorów danych w zarządzaniu zasobami. Nie zapominajmy również o ciągłym dbaniu o adekwatność dostępu do danych osobowych. Żaden z naszych pracowników nie powinien posiadać szerszego dostępu do danych niż wymagają tego jego obowiązki służbowe.

Kilka słów na temat skutków prawnych wycieku danych. Czyn taki stanowi przestępstwo uregulowane w art. 51 Ustawy o ochronie danych osobowych. W myśl przepisu „Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.

W rozdziale XXXIII Kodeksu Karnego odnajdujemy przepisy odnoszące się odpowiedzialności za przestępstwa przeciwko ochronie informacji. W myśl art. 269a kk „Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”. W rozdziale XXXV zatytułowanym „Przestępstwa przeciwko mieniu” odnajdujemy art. 287 kk, który wskazuje natomiast, że „Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”.

Niezależnie od odpowiedzialności karnej należy wskazać, że wyciek danych stanowi poważne naruszenie prywatności. Prawo do prywatności jest jednym z dóbr osobistych podlegającym ochronie na gruncie przepisów Kodeksu Cywilnego. Niejednokrotnie zdarza się, że wyciek danych jest przedmiotem skargi kierowanej do Generalnego Inspektora Ochrony Danych Osobowych. W przypadku niezastosowania się do decyzji wydanej przez GIODO stosowane są środki egzekucyjne przewidziane w przepisach ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji.

Kilka słów podsumowujących. Wyciek danych stanowi kryzysową sytuację u każdego przedsiębiorcy. Straty wynikające z nieprzewidzianego incydentu mogą być ogromne. Zakłócenie działalności firmy, straty finansowe (konieczność zakupu nowego oprogramowania oraz przeszkolenia pracowników z zakresu ochrony danych osobowych generują kolejne koszty), a kończąc na utracie renomy. Po zaistniałym incydencie pora na podjęcie odpowiednich kroków oraz wyciągnięcie stosownych wniosków. Warto by się zastanowić w jaki sposób można zminimalizować ryzyko wystąpienia wycieku danych. Zaleceń i rekomendacji w tym zakresie wydaje się wiele. Przed szereg wysuwa się kwestia kładzenia dużego nacisku na edukowanie pracowników w sferze ochrony danych osobowych oraz ciągłe doskonalenie systemu ochrony danych osobowych. Co więcej, właściwe obchodzenie się z dokumentacja firmową oraz prawidłowe wykorzystywanie narzędzi informatycznych wydają się kluczem do sukcesu.

Należy pamiętać, że cyberprzestępczość to świetnie prosperujący biznes. Pojedyncza informacja może nie będzie stanowić przedmiotu ataku hakera, ale paczka wartościowych danych na pewno go zainteresuje.