Średnio co 39 sekund dochodzi do ataku hakerskiego na komputery z dostępem do sieci – wynika z danych Security Magazine. Cenne informacje mogą jednak zostać przejęte nie tylko w wyniku działalności cyberprzestępców. Często sami jesteśmy odpowiedzialni za to, że dane trafiają w niepowołane ręce. Eksperci ODO 24, firmy zajmującej się ochroną danych i bezpieczeństwem informacji, wskazują na 6 głównych błędów popełnianych przez użytkowników i instruują jak je ograniczać.
1. Mail (lub pismo) wysłane na niewłaściwy adres
To jedno z typowych naruszeń polegające na omyłkowym wysłaniu wiadomości zawierającej dane osobowe do osoby, która nie miała być docelowym adresatem. Warto dodać, że wprowadzenie w polu odbiorcy wiadomości wielu adresów mailowych zdradzających tożsamość innych osób, także jest nie wskazane, bo np. możemy zdradzić listę klientów firmy będącej nadawcą wiadomości. „Omyłkowa wysyłka najczęściej wynika z błędu ludzkiego, który można wyeliminować poprzez np. regularne szkolenia pracowników z zakresu ochrony danych” – mówi radca prawny Katarzyna Szczypińska, specjalista ds. ochrony danych w ODO 24.
2. Pomylone dokumenty w wysyłanych paczkach
Nagminnym naruszeniem w wypadku sklepów internetowych jest dołączanie do przesyłek z zamówionym przez klienta produktem rachunków, faktur czy gotowych formularzy odstąpienia od umowy, zawierających dane innego klienta. Jak sugerują specjaliści ODO 24, w tym wypadku ważne jest – oczywiście poza szkoleniem pracowników w zakresie ochrony danych – stworzenie szczegółowej procedury przygotowywania wysyłki towaru.
3. Naruszenia związane z niewłaściwym zabezpieczeń od strony IT, w tym ataki hakerskie
Cyberprzestępcy wykorzystują wszelkie niestaranności przy doborze środków technicznych i organizacyjnych, zapewniających bezpieczeństwo i poufność danych przechowywanych przez organizacje. Eksperci przypominają, że środki bezpieczeństwa muszą być dostosowane odpowiednio do zagrożeń. I tak, poza stosowaniem oprogramowania antywirusowego czy stworzeniem procedur postępowania z hasłami dostępowymi, warto rozważyć także: szyfrowanie pamięci urządzeń/plików z danymi osobowymi, dodatkowe mechanizmy weryfikacji użytkownika jak hasło lub PIN czy aktualizowane na bieżąco oprogramowanie kontrolujące dostęp do komputera z zewnątrz (firewall).
4. Zagubienie przez pracowników dokumentów
Takie zdarzenia przytrafiają się najczęściej w sytuacjach, kiedy firmowe materiały są zabierane poza organizację, np. przy okazji wyjazdów do klienta. Pozostawienie dokumentów może mieć miejsce np. w komunikacji miejskiej albo u samego klienta. „Jeżeli jest taka możliwość, najlepiej przewozić dokumentację w formie elektronicznej, tym bardziej, że jest to wygodniejsze. Zagubione mogą być oczywiście także elektroniczne nośniki danych, zarówno poza organizacją, jaki i wewnątrz niej (np. pendrive). Oprócz szyfrowania nośników warto więc prowadzić również ich ewidencję, gdzie będzie zawarta informacja komu i kiedy nośnik został wydany oraz numer seryjny sprzętu” – wskazuje Katarzyna Szczypińska.
5. Niewłaściwa anonimizacja danych osobowych oraz niszczenie archiwalnej dokumentacji
Naruszenie w tym obszarze może polegać przykładowo na przekazaniu telefonów służbowych firmie utylizującej sprzęt o wątpliwej renomie na rynku, bądź też przekazanie ich bez odpowiednich zapisów umownych. W tym wypadku skuteczne może być (poza podstawową wiedzą z zakresu bezpieczeństwa) wprowadzenie szczegółowych instrukcji postępowania z dokumentami i nośnikami zawierającymi dane (w tym metod anonimizacji danych), które nie są już potrzebne – informują specjaliści.
6. Udostępnianie nagrań z monitoringu „bez żadnego trybu”
Częstym naruszeniem w dużych sieciach handlowych jest niefrasobliwość personelu sklepu w zakresie nie tylko przekazywania nagrań z monitoringu, ale także jego okazywania, bez refleksji nad celowością oraz podstawą prawną takiego działania. „Bardzo ważne jest, żeby udostępnienie/okazanie nagrań było szczegółowo uregulowane w procedurach sieci handlowej (np. na czyje polecenie ochroniarz może udostępnić nagranie, czy ma to być kierownik sklepu, czy osoba z centrali wyznaczona do koordynowania działań związanych z ochroną danych osobowych). Najlepiej, gdyby takie procedury były wydrukowane i wywieszone tuż przy stanowiskach, na których następuje okazywanie/udostępnianie nagrania” – podsumowuje Katarzyna Szczypińska.
