Połowa firm z sektora MŚP przekazuje dane osobowe swoich pracowników współpracującym z nimi biurom księgowo-rachunkowym. Aż 23% ankietowanych przedsiębiorstw z tej grupy robi to w sposób zupełnie niezabezpieczony. Tak wynika z badania przeprowadzonego na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów, pod patronatem Urzędu Ochrony Danych Osobowych.
95% mikro, małych i średnich przedsiębiorców przetwarza dane osobowe pracowników. Z czego wspomniane już 49% przekazuje je do biur księgowo-rachunkowych. Przytłaczająca większość z tej grupy (88%) uważa, że są one przez podwykonawców prawidłowo zabezpieczone. Z drugiej strony, nawet 45% respondentów boi się, że mogą one zostać skradzione.
Chociaż papierowa dokumentacja przechodzi do lamusa, to w tej formie biurom rachunkowo-księgowym czy agencjom HR nadal dokumenty dostarcza aż 38% ankietowanych. Znacznie częściej przedsiębiorstwa z sektora MŚP przekazują dane osobowe pracowników w formie elektronicznej. Niestety, zaledwie 31% respondentów wysyła szyfrowane e-maile z załącznikiem chronionym hasłem dostępu do pliku. Najczęściej tego typu zabezpieczenie stosują średnie firmy (38%), a rzadziej małe i mikro (po 31%). Z kolei 22% przedsiębiorców przesyła szyfrowane e-maile z załącznikiem, choć nie są one zabezpieczone hasłem. 16% ankietowanych przechowuje natomiast szyfrowane dokumenty w chmurze, które następnie udostępnia zewnętrznym partnerom.
Ignorowanie podstawowych zasad cyberbezpieczeństwa
Zdarzają się jednak przedsiębiorstwa, które całkowicie nieodpowiedzialnie podchodzą do ochrony danych osobowych pracowników. 14% respondentów wysyła bowiem podwykonawcom nieszyfrowane e-maile z załącznikiem bez wymaganego hasła dostępu do pliku.
“To największa bolączka małych firm (23%) z branży handlowej (25%) i transportowej (21%), które są obecne na rynku powyżej 10 lat (32%). Zdecydowanie częściej funkcjonują w formie spółek (19%) niż jednoosobowych działalności gospodarczych (5%). Niestety, pomimo dużego biznesowego doświadczenia, bardzo lekceważąco podchodzą do ochrony danych osobowych pracowników i klientów, które w efekcie są wyjątkowo łatwym celem dla hakerów” – komentuje Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.
Równie lekkomyślne postępuje 9% ankietowanych, którzy przechowują nieszyfrowane dokumenty w chmurze, a następnie udzielają do niej dostępu firmom zewnętrznym. To domena średnich firm (19%) z branży produkcyjnej (81%) i budowlanej (22%), które są obecne na rynku od 5 do 10 lat. To bardzo niepokojące, ponieważ te przedsiębiorstwa zatrudniają od 50 do 250 osób.
Dane osobowe na pendrive
To nie zamyka listy grzechów MŚP. 5% z nich co prawda już nie wozi do biura rachunkowo-księgowego papierowych dokumentów pracowników, ale przekazuje je na pendrive lub zewnętrznym dysku. Jeśli ten zginie lub zostanie skradziony, dane pracowników stają się dostępne dla postronnych osób.
“Administratorzy danych, czyli pracodawcy, powinni przeprowadzić analizę ryzyka i zidentyfikować zagrożenia, jeżeli przekazują dane na nośnikach typu pendrive. Analiza powinna wykazać konieczność odpowiedniego zabezpieczenia takich urządzeń. Istnieją na rynku szyfrowane nośniki tego typu. Pliki można także zaszyfrować, co w przypadku zgubienia takiej przenośnej pamięci czy jej kradzieży uniemożliwi albo przynajmniej utrudni zapoznanie się z danymi bez znajomości hasła” – mówi Mirosław Wróblewski, prezes UODO.
Warto dodać, że UODO karało już administratorów, u których doszło do naruszenia ochrony danych z powodu utraty niezabezpieczonego pendrive’a.
7,3 mln potencjalnych ofiar ataków
Zgodnie z danymi Głównego Urzędu Statystycznego, firmy z sektora MŚP zatrudniają 7,3 mln pracowników. Dla cyberprzestępców oznacza to 7,3 mln potencjalnych ofiar ataków. A wykradziony łup może być bezcenny.
Mikro, małe i średnie firmy najczęściej przetwarzają:
- imię i nazwisko zatrudnianych pracowników (86%),
- numer telefonu (80%),
- adres zamieszkania i numer PESEL (po 75%),
- adres e-mail (70%),
- numer rachunku bankowego (68%),
- numer dowodu osobistego (62%),
- dane zdrowotne o absencjach czy przebytych chorobach (43%).
W rezultacie, z powodu słabego poziomu zabezpieczeń w wielu MŚP, hakerzy w bardzo prosty sposób mogą wykraść komplet danych osobowych potrzebnych do popełnienia przestępstwa.
