Pracownicy i współpracownicy odpowiadają za 68% naruszeń RODO w polskich firmach

Nadal większość incydentów związanych z naruszeniem ochrony danych osobowych wynika z błędów ludzkich (68%), a nie jest efektem przemyślanych działań hakerów – potwierdza najnowsze badanie Związku Firm Ochrony Danych Osobowych (ZFODO). Najczęstszą przyczyną takich zdarzeń jest zwykła ludzka niefrasobliwość.

Wspomnianą analizą objęto 454 organizacje obsługiwane przez 9 różnych firm zrzeszonych w ramach ZFODO, a samo badanie przeprowadzono w okresie maj 2019–maj 2020 na przedsiębiorstwach zarówno z sektora publicznego, jak i prywatnego. I tak, w łącznej liczbie organizacji odnotowano oficjalnie 297 incydentów naruszenia ochrony danych osobowych. Daje to średnią 0,65 incydentu rocznie na każdą organizację – w poprzedniej edycji raportu wyniosła ona 0,46, ale wtedy liczba przebadanych firm była mniejsza i dotyczyła 277 podmiotów.

Jak wskazują autorzy badania, przygotowując raport opierano się jednak wyłącznie na incydentach zgłoszonych firmom zrzeszonym w ZFODO przez obsługiwane przez nich organizacje. Liczba incydentów, które wystąpiły w rzeczywistości może być zatem wyższa. „Patrząc na liczby, skok nie wydaje się może aż tak spektakularny, ale liczby stabilnie rosną” – ocenia Tomasz Mosiej, prezes zarządu Omni Modo Sp. z o.o.

Większość incydentów generuje sektor prywatny

Jak wynika z raportu ZFODO, zdecydowaną większość wszystkich odnotowanych incydentów wygenerował sektor prywatny (31%). Nie można jednak wyciągnąć z tego zbyt daleko idących wniosków, uważają autorzy badania, podkreślając, że firmy zrzeszone w ZFODO obsługują jednak w większości właśnie ten sektor. Inne branże podatne na incydenty tego typu to: handel i e-commerce (26%), przemysł i produkcja (13%) czy finanse oraz ubezpieczenia.

„Przeważająca liczba incydentów oraz naruszeń w sektorze prywatnym związana była z utratą poufności danych poprzez nieuprawnione udostępnienie danych osobowych – źródłem tych zachowań były błędy systemowe i niezamierzone działanie człowieka” – zauważa Piotr Kawczyński, dyrektor zarządzający Forsafe Sp. z o.o.

Nawet 92% naruszeń stanowią działania nieumyślne

Twórcy raportu podzielili źródła naruszeń na trzy kategorie. Pierwsza z nich, procesor, to podmioty przetwarzające dane osobowe na zlecenie operatora – odpowiadają one za 12% naruszeń. Druga, to zewnętrzne, a więc niezwiązane bezpośrednio z organizacją czyli hakerzy, byli pracownicy itp. (20%) oraz trzecia, wspomniane już wewnętrzne, za które odpowiadają pracownicy i współpracownicy organizacji (68%).

Aż 92% incydentów stanowiły działania nieumyślne. W tej kategorii autorzy raportu wyszczególnili m.in.: błędnie zaadresowane maile, brak stosowania kopii ukrytej czy wysyłkę korespondencji tradycyjnej z błędną zawartością. Z kolei wśród działań umyślnych odnotowano m.in. kradzieże laptopów, wyłudzenia informacji oraz udostępnianie danych osobom nieuprawnionym. „Z moich doświadczeń wynika, że najczęściej problemem jest… wysyłanie e-maili. To właśnie tego typu wiadomości zawierające dane (czy to w treści e-maila czy w postaci załącznika) wysyłane są do błędnych adresatów, a zatem dochodzi do naruszenia poufności danych” – mówi Michał Sztąberek, prezes zarządu iSecure Sp. z o.o.

Co szczególnie istotne, za najczęstsze przyczyny naruszenia danych osobowych odpowiadają tzw. działania czynnika ludzkiego (96%). A więc zarówno działania umyślne zewnętrznych osób (np. hakerów), jak i niezawinionych pomyłek pracowników organizacji. „Wynik badania to przestroga dla wszystkich, wierzących w to, że nowe technologie zabezpieczą w sposób bezobsługowy, posiadane przez nas informacje. Praca z ludźmi jest żmudna, wymaga systematyczności i konsekwencji. I nie gwarantuje sukcesu. Jednak to jedyna droga do wyeliminowania aż 96% naruszeń, które miały miejsce w badanych organizacjach” – przekonuje Przemysław Zegarek, prezes zarządu kancelarii Lex Artis.

Dodajmy jeszcze, że zidentyfikowane naruszenia ochrony danych osobowych – tak jak i poprzednim badaniu – dotyczyły najczęściej danych osobowych zwykłych, a więc imienia i nazwiska (23%) oraz e-maila (22%).

Blisko 70% nie zgłoszonych incydentów

Okazuje się też, że 67% incydentów, nie zostało zgłoszonych do organu nadzorczego (w badaniu sprzed roku 59%) – czytamy w raporcie. Jest to oczywiście możliwe zgodnie z art. 33 ust. 1 RODO, według którego incydentu możemy nie zgłaszać organowi nadzorczemu, jeśli „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”.

Co ciekawe, samych zainteresowanych o incydentach informowano stosunkowo rzadko (powiadomiono zaledwie 30%). Świadczy to o tym, że większość incydentów, zdaniem administratorów, nie powodowała wysokiego ryzyka naruszenia praw osób, których dane przetwarzano. Czy tak jest rzeczywiście? Trudno to jednoznacznie ocenić.