CyberbezpieczeństwoPolecane tematy

Pracownicy i współpracownicy odpowiadają za 68% naruszeń RODO w polskich firmach

Nadal większość incydentów związanych z naruszeniem ochrony danych osobowych wynika z błędów ludzkich (68%), a nie jest efektem przemyślanych działań hakerów – potwierdza najnowsze badanie Związku Firm Ochrony Danych Osobowych (ZFODO). Najczęstszą przyczyną takich zdarzeń jest zwykła ludzka niefrasobliwość.

Pracownicy i współpracownicy odpowiadają za 68% naruszeń RODO w polskich firmach

Wspomnianą analizą objęto 454 organizacje obsługiwane przez 9 różnych firm zrzeszonych w ramach ZFODO, a samo badanie przeprowadzono w okresie maj 2019–maj 2020 na przedsiębiorstwach zarówno z sektora publicznego, jak i prywatnego. I tak, w łącznej liczbie organizacji odnotowano oficjalnie 297 incydentów naruszenia ochrony danych osobowych. Daje to średnią 0,65 incydentu rocznie na każdą organizację – w poprzedniej edycji raportu wyniosła ona 0,46, ale wtedy liczba przebadanych firm była mniejsza i dotyczyła 277 podmiotów.

Jak wskazują autorzy badania, przygotowując raport opierano się jednak wyłącznie na incydentach zgłoszonych firmom zrzeszonym w ZFODO przez obsługiwane przez nich organizacje. Liczba incydentów, które wystąpiły w rzeczywistości może być zatem wyższa. „Patrząc na liczby, skok nie wydaje się może aż tak spektakularny, ale liczby stabilnie rosną” – ocenia Tomasz Mosiej, prezes zarządu Omni Modo Sp. z o.o.

Większość incydentów generuje sektor prywatny

Jak wynika z raportu ZFODO, zdecydowaną większość wszystkich odnotowanych incydentów wygenerował sektor prywatny (31%). Nie można jednak wyciągnąć z tego zbyt daleko idących wniosków, uważają autorzy badania, podkreślając, że firmy zrzeszone w ZFODO obsługują jednak w większości właśnie ten sektor. Inne branże podatne na incydenty tego typu to: handel i e-commerce (26%), przemysł i produkcja (13%) czy finanse oraz ubezpieczenia.

„Przeważająca liczba incydentów oraz naruszeń w sektorze prywatnym związana była z utratą poufności danych poprzez nieuprawnione udostępnienie danych osobowych – źródłem tych zachowań były błędy systemowe i niezamierzone działanie człowieka” – zauważa Piotr Kawczyński, dyrektor zarządzający Forsafe Sp. z o.o.

Nawet 92% naruszeń stanowią działania nieumyślne

Twórcy raportu podzielili źródła naruszeń na trzy kategorie. Pierwsza z nich, procesor, to podmioty przetwarzające dane osobowe na zlecenie operatora – odpowiadają one za 12% naruszeń. Druga, to zewnętrzne, a więc niezwiązane bezpośrednio z organizacją czyli hakerzy, byli pracownicy itp. (20%) oraz trzecia, wspomniane już wewnętrzne, za które odpowiadają pracownicy i współpracownicy organizacji (68%).

Aż 92% incydentów stanowiły działania nieumyślne. W tej kategorii autorzy raportu wyszczególnili m.in.: błędnie zaadresowane maile, brak stosowania kopii ukrytej czy wysyłkę korespondencji tradycyjnej z błędną zawartością. Z kolei wśród działań umyślnych odnotowano m.in. kradzieże laptopów, wyłudzenia informacji oraz udostępnianie danych osobom nieuprawnionym. „Z moich doświadczeń wynika, że najczęściej problemem jest… wysyłanie e-maili. To właśnie tego typu wiadomości zawierające dane (czy to w treści e-maila czy w postaci załącznika) wysyłane są do błędnych adresatów, a zatem dochodzi do naruszenia poufności danych” – mówi Michał Sztąberek, prezes zarządu iSecure Sp. z o.o.

Co szczególnie istotne, za najczęstsze przyczyny naruszenia danych osobowych odpowiadają tzw. działania czynnika ludzkiego (96%). A więc zarówno działania umyślne zewnętrznych osób (np. hakerów), jak i niezawinionych pomyłek pracowników organizacji. „Wynik badania to przestroga dla wszystkich, wierzących w to, że nowe technologie zabezpieczą w sposób bezobsługowy, posiadane przez nas informacje. Praca z ludźmi jest żmudna, wymaga systematyczności i konsekwencji. I nie gwarantuje sukcesu. Jednak to jedyna droga do wyeliminowania aż 96% naruszeń, które miały miejsce w badanych organizacjach” – przekonuje Przemysław Zegarek, prezes zarządu kancelarii Lex Artis.

Dodajmy jeszcze, że zidentyfikowane naruszenia ochrony danych osobowych – tak jak i poprzednim badaniu – dotyczyły najczęściej danych osobowych zwykłych, a więc imienia i nazwiska (23%) oraz e-maila (22%).

Blisko 70% nie zgłoszonych incydentów

Okazuje się też, że 67% incydentów, nie zostało zgłoszonych do organu nadzorczego (w badaniu sprzed roku 59%) – czytamy w raporcie. Jest to oczywiście możliwe zgodnie z art. 33 ust. 1 RODO, według którego incydentu możemy nie zgłaszać organowi nadzorczemu, jeśli „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”.

Co ciekawe, samych zainteresowanych o incydentach informowano stosunkowo rzadko (powiadomiono zaledwie 30%). Świadczy to o tym, że większość incydentów, zdaniem administratorów, nie powodowała wysokiego ryzyka naruszenia praw osób, których dane przetwarzano. Czy tak jest rzeczywiście? Trudno to jednoznacznie ocenić.

Tagi

Podobne

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *