Środowisko odporne na wycieki danych – jak się za to zabrać? 10 najważniejszych zasada pozwalających zabezpieczyć się przed takimi zdarzeniami.
Dane firm i instytucji przepływają zarówno oficjalnymi jak i nieoficjalnymi kanałami, takimi jak poczta e-mail, komunikatory, drukarki, czy rozwiązania chmurowe. Jeśli pracownicy nie potraktują danych z odpowiednią starannością, a firma czy instytucja nie wdroży należytych rozwiązań, mogą one w łatwy sposób zostać utracone. Poznaj 10 najważniejszych zasadach, aby zabezpieczyć się przed wyciekiem danych od wewnątrz organizacji.
Ataki internetowych przestępców czy działanie złośliwego oprogramowania to zazwyczaj najbardziej spektakularne i głośne przypadki kradzieży firmowych zasobów. W większości przypadków poszkodowana jest nie tylko sama organizacja, na którą przeprowadzono atak, ale również niezliczona liczna osób czy podmiotów, których utracone dane dotyczyły. Coraz większym problemem są jednak zagrożenia wewnętrzne i wycieki danych w wyniku nierozważnego lub celowego działania pracowników. Wg raportu Instytutu Ponemon liczba takich incydentów podwoiła się (wzrost o 44%) w ciągu ostatnich dwóch lat! Ponad połowa z nich spowodowana była nieodpowiedzialnym zachowaniem zatrudnionych osób, a 26% przypadków utraty danych miało charakter zamierzonego i celowego postępowania pracowników.
Jak firmy tracą swoje dane?
– Według amerykańskiego National Cyber Security Alliance około 60% małych firm zamyka się w ciągu sześciu miesięcy od poważnego wycieku danych, a aż 85% doświadcza naruszenia bezpieczeństwa danych. Koszty takich zdarzeń liczone są często w milionach lub dziesiątkach milionów – mówi Mateusz Piątek, ekspert ds. bezpieczeństwa w Safetica. Motywacje tzw.„złośliwych insiderów” do niewłaściwego wykorzystania danych firmy mogą wynikać z chęci zaszkodzenia firmie, zarobku czy budowania własnej kariery. Pracownicy mogą również dopuścić się zaniedbań i przypadkowo wysłać dane poza firmę. Większość zagrożeń wewnętrznych jest niezamierzona i pojawia się z różnych powodów, takich jak hybrydowy tryb pracy i wykorzystywanie własnych urządzeń w ramach popularnej koncepcji Bring Your Own Device, w skrócie BYOD. Pracownicy często nie są świadomi procesów bezpieczeństwa, a administratorzy sieci nie mają odpowiednich narzędzi do nadzorowania przepływu danych i wychwytywania potencjalnych ryzyk.
Przykłady zagrożeń wewnętrznych
- Szpital w Gliwicach – doszło w nim do wycieku danych pacjentów, którzy korzystali z wymazów w kierunku SARS-CoV2. Utracono m.in. imiona, nazwiska i numery PESEL. Eksperci nie mają wątpliwości, że dane pacjentów mogą posłużyć oszustom do zaciągania np. niechcianych kredytów.
- Urząd Miasta Wronki – dane zostały skopiowane z komputera służbowego przez jednego z pracowników urzędu. Wśród nich były m.in. imiona i nazwiska, adresy zamieszkania czy numery PESEL oraz dokumenty związane z rozliczeniami mieszkańców czy wynajmem miejskich lokali.
- Coca-Cola – w 2018 roku okazało się, że odchodzący pracownik miał zewnętrzny dysk twardy, na którym znajdowały się informacje skradzione z Coca-Coli. Gdy sprawa wyszła na jaw, firma wysłała powiadomienia o naruszeniu do około 8 tys. osób, których dane zostały skopiowane. Były pracownik zabrał je ze sobą, gdy opuszczał firmę.
- Trend Micro- firma doświadczyła wycieku danych przez pracownika, który miał dostęp do bazy danych obsługi klienta zawierającej nazwiska, adresy e-mail inumery zgłoszeń serwisowych. Nieuczciwy pracownik sprzedał wrażliwe dane zewnętrznemu podmiotowi.
Jak chronić się przed utratą danych od wewnątrz firmy?
Bez względu na to, jakie dane przetwarza organizacja, istnieje kilka uniwersalnych sposobów ochrony wrażliwych informacji.
- Wykonaj audyt i znajdź wszystkie swoje wrażliwe dane. Dobrze wiedzieć z jakimi danymi działa Twoja firma, gdzie dane są przechowywane, kto ma dostęp do pracy z nimi i może je edytować.
- Wdrażaj zasady które określają w jaki sposób można postępować z danymi wrażliwymi, kto może uzyskać do nich dostęp i w jakim celu. Upewnij się, że zasady są łatwe do zrozumienia.
- Edukuj pracowników i wyjaśniaj im, jak ważne jest bezpieczeństwo danych. Powinni być świadomi, z jakimi danymi działa firma i jakie są konsekwencje ich niewłaściwego wykorzystania.
- Zaszyfruj najważniejsze dane i upewnij się, że nawet jeśli sprzęt zostanie zgubiony lub ukradziony dane pozostaną bezpieczne.
- Monitoruj nowych i odchodzących pracowników – sprawdzaj przeszłość nowych pracowników. Stwórz bezpieczny proces opuszczania firmy, aby mieć pewność, że odchodzący pracownicy nie zabiorą ze sobą żadnych danych. Jeśli podejrzewasz możliwość naruszeń, miej ich na oku i kontroluj, do jakich danych mają dostęp i czy jest im potrzebny.
- Dopuszczaj tylko autoryzowane urządzenia – miej kontrolę na tym jakie nośniki danych są podpinane do firmowego sprzętu. W połączeniu z odpowiednia klasyfikacją plików, utrudni to kopiowanie wrażliwych danych poza organizację.
- Strony do udostępniania plików, media społecznościowe i komunikatory – blokuj przesyłanie danych lub powiadamiaj pracowników o ryzykownych operacjach.
- E- mail – ogranicz wysyłanie danych na nieznane zewnętrzne adresy e-mail, powiadamiaj pracowników o potencjalnym naruszeniu.
- Internet, chmura, O365 – Ogranicz przesyłanie danych do nieoficjalnych kanałów poza firmą i powiadom o tym pracowników.
- Drukarki – Sprawdzaj na podstawie informacji kontekstowych, jakie dokumenty drukują Twoi pracownicy. Odkryjesz potencjalne naruszenia bezpieczeństwa danych i ograniczysz możliwość drukowania dokumentów z wrażliwymi danymi.