14 października 2022
Kradzież firmowych danych przez pracowników to ogromne straty dla firmy
Aż 80 proc. firm traci dane w wyniku błędów pracowników lub ich złośliwych działań. Na szczęście są skuteczne rozwiązania pozwalające chronić dane przed wyciekiem od wewnątrz. Artykuł pochodzi z portalu Business Insider.
Dane są we współczesnych czasach kluczowym składnikiem aktywów każdego przedsiębiorstwa. Ich utrata lub kradzież wpływa negatywnie na reputację firmy, jej przewagę konkurencyjną i rentowność. Często może też przełożyć się na potężne kary administracyjne lub sądowe. W skrajnych sytuacjach wyciek danych to początek procesu, który w szybkim czasie może prowadzić do upadłości firmy.
Według amerykańskiej organizacji National Cyber Security Alliance około 60 procent małych firm zamyka działalność w ciągu sześciu miesięcy od poważnego wycieku danych, a średni koszt pojedynczego incydentu utraty informacji sięga aż 150 tys. dolarów.
W Polsce wyciek danych też jest bardzo kosztowny. Urząd Ochrony Danych Osobowych poinformował w lutym tego roku o nałożeniu rekordowej kary 4,9 mln zł na jedną z firm zajmujących się handlem prądem i gazem za "niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego." Naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Podmiot przetwarzający dane otrzymał karę w wysokości 250 tys. zł.
W lutym poinformowano też o nałożeniu kary administracyjnej w wysokości ponad pół miliona złotych na jeden z największych banków w Polsce za "niezawiadomienie bez zbędnej zwłoki osób", których dane wyciekły.
To tylko najbardziej spektakularne przykłady, ile może kosztować nad Wisłą wyciek danych. Lista firm, które przez to poniosły duże straty, jest zdecydowanie dłuższa.
Nie haker, ale nieuczciwy pracownik
Mówiąc o ryzyku wycieku danych, myślimy przede wszystkim o cyberprzestępcach i wirusach komputerowych. To błąd! Aż 80 proc. firm traci dane w wyniku błędów pracowników lub ich złośliwych działań – wynika z badań Safetica, europejskiej firmy działającej na 120 rynkach i specjalizującej się w rozwiązaniach zapobiegających utracie danych oraz do ochrony przed zagrożeniami wewnętrznymi.
Okazuje się więc, że to właśnie pracownicy są najsłabszym ogniwem bezpieczeństwa firmowych danych. I nie chodzi tu o ich niefrasobliwość, ale celowe wynoszenie poufnych danych. Często takich kradzieży dokonują pracownicy, którzy przechodzą do pracy w konkurencji bądź rozpoczynają działalność na własny rachunek i zabierają ze sobą poufne dane, na przykład firmową bazę danych, często wraz z klientami.
Taka celowa kradzież danych to powszechne zjawisko. Wg raportu Instytutu Ponemon aż 26 proc. przypadków utraty danych miało charakter zamierzonego i celowego postępowania pracowników. Najczęściej wykradane są informacje o klientach (61 proc.); własność intelektualna (56 proc.); oraz informacje konsumenckie (47 proc.).
Poufne informacje wynoszą także wysokopłatni specjaliści. Ich motywacją do kradzieży własności intelektualnej jest nie tyle zysk finansowy, ile nadzieja na uzyskanie lepszej pozycji i natychmiastowego uznania i pochwały w nowym miejscu pracy. Do nielegalnego procederu starannie się przygotowują. Raport z dochodzeń Verizon Data Breach Investigations 2020 wykazał, 70 proc. kradzieży własności intelektualnej ma miejsce w ciągu 90 dni przed ogłoszeniem rezygnacji przez pracownika.
Jak firmy powinny się bronić? 10 dobrych rad
Bez względu na to, jakie dane przetwarza organizacja, istnieje kilka uniwersalnych sposobów ochrony wrażliwych informacji.
- Wykonaj audyt i znajdź wszystkie swoje wrażliwe dane. Dobrze wiedzieć, z jakimi danymi działa Twoja firma, gdzie dane są przechowywane, kto ma dostęp do pracy z nimi i może je edytować.
- Wdrażaj zasady, które określają, w jaki sposób można postępować z danymi wrażliwymi, kto może uzyskać do nich dostęp i w jakim celu. Upewnij się, że zasady są łatwe do zrozumienia.
- Edukuj pracowników i wyjaśniaj im, jak ważne jest bezpieczeństwo danych. Powinni być świadomi, z jakimi danymi działa firma i jakie są konsekwencje ich niewłaściwego wykorzystania.
- Zaszyfruj najważniejsze dane i upewnij się, że nawet jeśli sprzęt zostanie zgubiony lub ukradziony, dane pozostaną bezpieczne.
- Monitoruj nowych i odchodzących pracowników – sprawdzaj przeszłość nowych pracowników. Stwórz bezpieczny proces opuszczania firmy, aby mieć pewność, że odchodzący pracownicy nie zabiorą ze sobą żadnych danych. Jeśli podejrzewasz możliwość naruszeń, miej ich na oku i kontroluj, do jakich danych mają dostęp i czy jest im potrzebny.
- Dopuszczaj tylko autoryzowane urządzenia – miej kontrolę nad tym, jakie nośniki danych są podpinane do firmowego sprzętu. W połączeniu z odpowiednią klasyfikacją plików utrudni to kopiowanie wrażliwych danych poza organizację.
- Strony do udostępniania plików, media społecznościowe i komunikatory – blokuj przesyłanie danych lub powiadamiaj pracowników o ryzykownych operacjach.
- E-mail – ogranicz wysyłanie danych na nieznane zewnętrzne adresy e-mail, powiadamiaj pracowników o potencjalnym naruszeniu.
- Internet, chmura, O365 – ogranicz przesyłanie danych do nieoficjalnych kanałów poza firmą i powiadom o tym pracowników.
- Drukarki – sprawdzaj na podstawie informacji kontekstowych, jakie dokumenty drukują Twoi pracownicy. Odkryjesz potencjalne naruszenia bezpieczeństwa danych i ograniczysz możliwość drukowania dokumentów z wrażliwymi danymi.
Niezbędny program DLP
Opisane kroki zdecydowanie podniosą poziom bezpieczeństwa danych w organizacji, jednak niezbędnym dodatkowym elementem w przemyślanej polityce ochrony danych powinno być również odpowiednie oprogramowanie DLP (Data Loss Prevention).
Safetica DLP monitoruje przetwarzania plików z danymi w firmie (w tym dokumenty tekstowe i maile), program rejestruje także kto i kiedy je przegląda lub je przetwarza. Pracownicy, którzy chcą skopiować cyfrowe dokumenty na pendrive’a, widzą stosowny komunikat-ostrzeżenie, a administratorzy na bieżąco otrzymują odpowiednie raporty lub natychmiast zgłaszane są do nich zdarzenia grożące wyciekiem danych.
Proces zabezpieczenia danych w organizacji zacząłbym od szkolenia pracowników, ponieważ zwiększenie świadomości to podstawowa zasada bezpieczeństwa. Następnie wykonania audytu, aby wiedzieć, jakie dane są gromadzone, gdzie i kto ma do nich dostęp oraz określenia zasad, w jaki sposób z danymi postępować. Kolejnym krokiem powinno być wdrożenie rozwiązania DLP w zakresie monitorowania aktywności na plikach. Na początku drogi przy zabezpieczeniu danych, chciałbym wiedzieć, jakie pliki opuszczają organizację i czy w tych plikach znajdują się dane, które powinny być chronione
Mateusz Piątek,
Product Manager Safetica w DAGMA Bezpieczeństwo IT
Jedno jest pewne. Wdrożenie w każdej firmie polityki ochrony danych jest dzisiaj więcej niż niezbędne. To jeden z fundamentów jej działania.
Mateusz Piątek
senior product manager Safetica / Holm Security / Senhasegura
Masz pytania?
Skontaktuj się ze mną:
piatek.m@dagma.pl
532 570 255
Skuteczna ochrona przed wyciekiem danych
Podobne wpisy: