CyberbezpieczeństwoPolecane tematy
Za 3/4 incydentów RODO w polskich firmach odpowiadają pracownicy i współpracownicy
Bezpieczeństwo danych osobowych w organizacjach jest zagrożone aż w 70% przez czynnik ludzki, a tylko 11% incydentów związanych z ochroną takich danych ma związek z błędnym działaniem technologii IT. To jedne z ważniejszych wniosków z raportu przez Związek Firm Ochrony Danych Osobowych (ZFODO).
Badanie ZFODO pt. „Incydenty ochrony danych osobowych” trwające rok (od maja 2018 do maja 2019 roku) obejmowało 277 obsługiwanych przez firmy należące do Związku Firm Ochrony Danych Osobowych organizacji reprezentujących różne branże, zarówno z sektora publicznego, jak i prywatnego. Podczas trwania badania odnotowano 127 incydentów danych osobowych. Autorzy analizy zaznaczają jednak, że badanie oparto na incydentach zgłoszonych oficjalnie do osoby pełniącej funkcję Inspektora Danych Osobowych, co oznacza, że w rzeczywistości skala naruszeń bezpieczeństwa ochrony danych osobowych może być wyższa. Dodatkowo, wpływ na wnioski badania ma też fakt, że uwzględnione zostały w nim także podmioty świadczące jedynie usługi dla innych podmiotów biznesowych. Niezależnie jednak od tego, wnioski z raportu ZFODO są bardzo interesujące.
Trudności interpretacyjne związane z oceną wagi naruszeń
Analizy pokazują przykładowo, że aż 59% ze wspomnianych incydentów nie zostało zgłoszonych do regulatora. Zgodnie z przepisami RODO można tak postępować jeśli „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia prawa lub wolności osób fizycznych”. Autorzy raportu podkreślają, że dokonanie samodzielnej oceny małego lub dużego prawdopodobieństwa naruszenia praw lub wolności, budzi w wielu sytuacjach trudności i obawy oceniających.
Stosunkowo niższy jest już natomiast udział nie zgłoszenia występujących incydentów osobom, których dane dotyczą – wynosi on 24%. Tu, podobnie jak w wypadku raportowania incydentów do regulatora, ocena wagi ryzyka naruszenia praw również budzi trudności interpretacyjne. W pozostałych przypadkach (76%) osoby decyzyjne uznały, że incydenty są na tyle poważne, iż należy poinformować o nich osoby, których dotyczyły. „Taka decyzja wymaga dużo odwagi ze strony administratora danych. Pojawić się mogła przecież pokusa naginania przepisu do własnych potrzeb i negowania ryzyka. Statystyka jednak tego nie potwierdza” – zauważa Przemysław Zegarek, prezes zarządu firmy Lex Artist.
Branże e-commerce oraz finanse i ubezpieczenia generują dużo incydentów
Ochrona danych osobowych zostaje naruszona w wielu branżach, wskazuje je raport ZFODO. Z badania wynika, że sektor prywatny wygenerował aż 80% wszystkich odnotowanych incydentów. Autorzy raportu uczulają jednak, aby nie wyciągać z tego faktu zbyt daleko idących wniosków – może to bowiem świadczyć o tym, że organizacje zrzeszone w ZFODO obsługują w większości właśnie ten sektor. Warto jednak zwrócić uwagę, że branże takie jak handel i e-commerce (17%) oraz finanse i ubezpieczenia (13%) wygenerowały łącznie 30% wszystkich incydentów.
„Tak naprawdę ryzyko naruszenia występuje w każdej organizacji i nie ma znaczenia sektor czy branża jaką reprezentuje. Znaczenie ma rodzaj gromadzonych przez te organizacje danych (w tym wypadku może pojawić się większe ryzyko kradzieży danych, np. informacji o stanie zdrowia, numerów kart kredytowych), sposoby przetwarzania danych oraz niewiedza wśród pracowników, a to właśnie błąd ludzki jest najczęstszą przyczyną wycieków danych” – zwraca uwagę Maria Lothamer, wiceprezes zarządu firmy iSecure.
Za ponad 70% naruszeń odpowiadają pracownicy bądź współpracownicy
Okazuje się, że największą negatywną rolę w naruszeniach odgrywa czynnik wewnętrzny – za ponad 70% incydentów odpowiadają pracownicy bądź współpracownicy. „Nie dziwi to nikogo, kto zajmuje się ochroną danych” – twierdzi Tomasz Osiej, prezes zarządu Omni Modo. „Nawet najlepsze zabezpieczenia, bez świadomości i odpowiedzialności ludzi, nie zadziałają”. Pozostałe źródła naruszeń danych osobowych to: podmioty przetwarzające je na zlecenie administratora (20%) oraz tzw. źródła zewnętrzne czyli hakerzy, byli pracownicy itd.
Statystki mówią o, aż 89% naruszeń stanowiących działania nieumyślne wynikające z np. błędnie zaadresowanych e-maili, braku zastosowania ukrytej kopii czy omyłkową korespondencją tradycyjną zawierającą dane innej osoby. Z kolei wśród działań umyślnych (11%) odnotowano m.in. kradzieże laptopów lub innych nośników danych, wyłudzenia informacji oraz udostępnianie danych osobom nieuprawnionym. Co ciekawe, za zaledwie 11% najczęstszych przyczyn naruszeń danych osobowych odpowiada błędne działanie technologii (np. awarie systemów informatycznych). Pozostałe wiążą się oczywiście z działaniem tzw. czynnika ludzkiego.
Najbardziej zagrożone dane osobowe zwykłe
Wydawałoby się, że dominującym naruszeniem będą incydenty związane z danymi służącymi do logowania, ale jednak tak nie jest. Jak wskazuje raport do najczęściej naruszanych kategorii danych należą: imię i nazwisko (44%), adres e-mail (20%), dane finansowe (17%), pracownicze (9%) i inne (10%).
“Szczęśliwie dla ankietowanych firm, większość naruszeń dotyczy tzw. danych osobowych zwykłych, takich jak imię, nazwisko czy adres email, do których PUODO nie przykłada szczególnej wagi. Podejście nadzoru jest bardziej surowe, gdy dochodzi do wycieku numerów PESEL lub danych szczególnej kategorii” – zwraca uwagę Paweł Latkowski Partner Discretia Sp. z o.o. “Wspomniane kategorie danych powinny zostać objęte przez firmy szczególną ochroną, aby uniknąć nieprzyjemnych konsekwencji w postaci kar administracyjnych, które ostatnio pojawiają się coraz częściej” – podsumowuje.