Dziś, gdy firmy coraz większe obszary swojej działalności przenoszą do przestrzeni cyfrowej, bardzo ważna jest właściwa ochrona danych, które mają dla danego biznesu kluczowe znaczenie. Czy da się zapewnić całkowite bezpieczeństwo IT oraz poufnym danym i jak się chronić przed ich ewentualnym wyciekiem?
Czym jest wyciek danych?
Najprościej można zdefiniować wyciek danych z firmy jako każde zdarzenie, którego bezpośrednim albo pośrednim skutkiem jest upowszechnienie informacji i danych osobom lub instytucjom, które w inny sposób takiego dostępu nie mogłyby uzyskać. Zakres danych, które są podatne na atak i mogą zostać ujawnione w wyniku wycieku, jest niezwykle szeroki, ponieważ we współczesnych realiach biznesowo-rynkowych praktycznie każda informacja ma określoną wartość.
Najczęściej jednak wyciek danych w firmach dotyczy różnego rodzaju poufnych informacji, jak np. dane osobowe klientów (w tym dane ich kart kredytowych, adresy e-mail czy informacje o stanie zdrowia), informacje o kontrahentach, raporty finansowe, zeznania podatkowe, strategie marketingowe lub biznesowe, plany rozwoju przedsiębiorstwa czy projekty i prototypy produktów.
Jak dochodzi do wycieku danych w firmie?
Wyciek informacji może nastąpić zarówno w wyniku celowego, świadomego działania, jak i w sposób niezamierzony, co oznacza, że za naruszenie bezpieczeństwa danych mogą być odpowiedzialni zarówno hakerzy, jak i pracownicy danej firmy. Zdaniem wielu specjalistów ta druga sytuacja (czyli wycieki danych spowodowane przez pracowników) jest znacznie częstsza, niż cyberataki – dzieje się tak bowiem w ponad połowie odnotowanych przypadków wycieku danych. Co istotne, niejednokrotnie naruszenia bezpieczeństwa danych wynikają z niewiedzy lub braku należytej ostrożności, a także z niewystarczającego zabezpieczenia poufnych informacji przed potencjalnymi wyciekami i nieuprawnionym dostępem.
Zasadniczo można podzielić przyczyny naruszenia bezpieczeństwa danych w firmie na wewnętrzne i zewnętrzne. Do grupy wewnętrznych powodów wycieku danych zalicza się przede wszystkim:
- pomyłki pracowników,
- niedbałe, niefrasobliwe wykonywanie obowiązków służbowych,
- celowe działania podejmowane przez pracowników (kradzież lub zniszczenie danych),
- awarie systemów bezpieczeństwa,
- nieprawidłowe użytkowanie systemów IT w firmie.
Zewnętrzne zagrożenia dla bezpieczeństwa danych to głównie:
- celowe, umyślne cyberataki, przeprowadzane przez zawodowych hakerów,
- odcięcie zasilania w firmie,
- różnego rodzaju kataklizmy (np. trzęsienie ziemi, powódź itp.).
Konsekwencje wycieku informacji w przedsiębiorstwie
Niezależnie od tego, jaka była konkretnie przyczyna wycieku informacji z firmy, każda tego rodzaju sytuacja oznacza dla organizacji, w której doszło do złamania bezpieczeństwa danych, szereg poważnych następstw. Po pierwsze, nawet niewielki wyciek danych najczęściej będzie oznaczać ogromne straty finansowe, wynikające z utraty reputacji, a tym samym także i zaufania klientów oraz partnerów biznesowych.
Najlepszym przykładem tego, jak silne mogą być dla firmy reperkusje związane z dopuszczeniem do wycieku informacji, jest polski portal Morele.net, z którego hakerzy wykradli pod koniec 2018 roku dane ponad 2,5 mln klientów. Nałożona na właścicieli portalu kara wyniosła aż 2,83 miliona złotych. Strat wizerunkowych oraz utraty zaufania ze strony tych klientów, których konta bankowe zostały przez cyberprzestępców w konsekwencji wycieku danych wyczyszczone, nie da się przeliczyć na pieniądze. Dodajmy w tym miejscu, że skuteczny system zabezpieczeń, który zminimalizowałby (lub nawet zredukował do zera) możliwość kradzieży danych klientów Morele.net, kosztowałby znacznie mniej, niż zasądzona kara.
Utrata reputacji i zaufania klientów oraz dotkliwe kary finansowe to jednak nie wszystko – w przypadku udowodnienia winy za wyciek informacji administratorowi danych, grozi mu kara pozbawienia wolności do lat 2.
Jak chronić się przed wyciekiem danych poufnych?
Dziś na rynku jest dostępne specjalistyczne oprogramowanie DLP (z ang. Data Loss Prevention/Data Leak Protection), które w kompleksowy sposób wspomaga ochronę danych elektronicznych przed wyciekami lub kradzieżą. Z reguły jednak tego rodzaju oprogramowanie jest dość kosztowne, dlatego na jego wdrożenie zwykle nie mogą sobie pozwolić firmy małe i przedsiębiorcy prowadzący jednoosobową działalność gospodarczą. Nie są to jednak jedyne sposoby na poprawę bezpieczeństwa danych w firmie. Działania, które mogą w znaczącym stopniu zmniejszyć ryzyko wycieku danych, to między innymi:
- regularna aktualizacja systemów operacyjnych i oprogramowania wykorzystywanego w firmie,
- zablokowanie możliwości zapisywania na nośnikach zewnętrznych (dyski twarde, pendrive’y itp.) danych przechowywanych na firmowych komputerach,
- klasyfikacja danych i przydzielanie poszczególnym pracownikom dostępu wyłącznie do tych informacji, z których faktycznie korzysta w czasie wykonywania obowiązków służbowych,
- szyfrowanie istotnych plików oraz dokumentów przechowywanych na komputerach firmowych oraz w chmurze w taki sposób, by nie było możliwe odczytanie ich poza siecią informatyczną organizacji,
- blokada możliwości wysyłania plików w formie załączników do poczty e-mail oraz do wiadomości przesyłanych za pomocą komunikatorów (np. Messenger, Skype itd.),
- monitorowanie serwerów oraz komputerów pracowników.
Interesującym rozwiązaniem może się także okazać outsourcing usług związanych z ochroną przed wyciekiem danych – szczególnie dla firm, których nie stać na wdrażanie drogich rozwiązań klasy DLP.
Firmy zainteresowane możliwościami skutecznego zabezpieczenia poufnych danych przedsiębiorstwa przed niepowołanym dostępem zarówno wewnątrz, jak i na zewnątrz organizacji, zachęcamy do odwiedzenia strony internetowej polskiej firmy Meskomp, oferującej szerokie spektrum usług z zakresu obsługi informatycznej firm.
