Przedsiębiorco, zadbaj o swoją prywatność i dane osobowe

prywatność i dane osobowe

Czy zastanawiałeś się nad tym, co się dzieje z twoimi danymi udostępnianymi firmie oferującej usługi – w banku, firmie kurierskiej, podczas rejestracji online na udział w szkoleniu? Każda z tych firm zobowiązana jest prowadzić politykę ochrony danych osobowych i zwracać szczególną uwagę na przestrzeganie standardów bezpieczeństwa informacji.

Standardy ochrony danych osobowych w firmie kurierskiej

Wiele średnich i dużych firm działających na rynku usług w branży kurierskiej wypracowuje swoje  wewnętrzne standardy bezpieczeństwa informacji. Ich podstawą są obowiązujące przepisy, ale również praktyka przy utrzymaniu systemów informatycznych. Na przykładzie firm kurierskich do strategii bezpieczeństwa informatycznego w kontekście ochrony danych osobowych powinny należeć m.in.

  • audyty aplikacji webowych oraz usług sieciowych, do których mają dostęp klienci firmy,
  • ograniczenia w dostępie do sieci dla dostawców zewnętrznych (np. dostawcy CCTV w magazynach, wsparcie aplikacji firm trzecich etc.),
  • jasne zasady dotyczące wymiany danych pomiędzy klientem a przewoźnikiem: szyfrowane protokoły, autentykacja itp.,
  • oraz cały szereg przepisów wewnętrznych, takich jak: zmiana haseł, nadawanie dostępów do aplikacji, polityka używania dysków przenośnych, szyfrowanie dysków w stacjach roboczych, jasne procedury utylizacji sprzętu komputerowego uniemożliwiające odzyskanie danych.

Firmy międzynarodowe nierzadko obierają strategię polegającą na centralizacji na skalę globalną aplikacji biznesowych. Strategia taka, oprócz oczywistych oszczędności (ekonomia skali), zapewnia hosting aplikacji w centrach obliczeniowych, gwarantujących bardzo wysoki poziom bezpieczeństwa – zarówno w warstwie rozwiązań informatycznych – firewalle, polityka backupów, ochrona przeciwwirusowa, zagwarantowana redundancja itp. jak i w warstwie fizycznej – m.in. monitorowany dostęp do serwerowni, ochrona przeciwpożarowa. Oba aspekty wydają się być równie ważne w świetle przepisów dotyczących ochrony danych osobowych. Nawet najlepiej zabezpieczony system informatyczny nie jest skuteczny, jeśli złodziej może np. podać się za serwisanta i wynieść serwer z danymi „pod pachą”.

Świadomość u naszych klientów

Firma kurierska stanowi integralną część łańcucha dostaw dla wielu przedsiębiorców. Odczuwalnie wzrasta świadomość bezpieczeństwa informatycznego firm współpracujących z dostawcą usług kurierskich. Największe obostrzenia dotyczące bezpieczeństwa danych zauważalne są w sektorze publicznym oraz u firm przetwarzających dane wrażliwe, np. dane medyczne, numery kart kredytowych itp. Zdarzają się również sytuacje, gdy dostęp do internetowej witryny usługodawcy logistycznego, służącej do wydrukowania listu przewozowego, jest w danej firmie zabroniony, właśnie ze względu na podwyższone ryzyko wycieku poufnych danych. W takich sytuacjach firma kurierska musi się niejako dostosować do polityki bezpieczeństwa danego klienta, stosując np. dedykowane rozwiązania wykorzystujące bezpieczne protokoły.

Ostatnie ataki wirusów

Nie ma się co dziwić wzrostem ataków, skoro zagrożenia czyhają na naiwnych. Ostatni atak wirusów Pyetya/notPyetya/WannaCry pokazał, iż nawet największe firmy padły ich ofiarą. Ci co ustrzegli się przed atakiem zapewne mieli większą świadomość pewnych zagrożeń. W zasadzie każda większa firma w ramach polityki bezpieczeństwa cyklicznie powinna wykonywać poniższe czynności:

  • aktualizację systemów operacyjnych na serwerach, ze szczególnym uwzględnieniem krytycznych poprawek,
  • monitoring sprawdzający czy dostawcy zewnętrzni posiadający urządzenia w sieci firmy również stosują te same standardy,
  • aktualizację systemu i oprogramowania antywirusowego na stacjach roboczych.

Najtrudniejszym w realizacji może okazać się ostatni punkt z listy, czyli zabezpieczenie stacji roboczych. Istnieją systemy umożliwiające automatyzacje ww. aktywności, ale pod warunkiem, że komputery użytkowników są wpięte do sieci – podczas gdy mamy tutaj do czynienia np. z komputerami, które służą jako zapas w przypadku awarii i nie są na co dzień używane. Wtedy wewnętrzne procedury powinny wymuszać ich cykliczne podłączanie do sieci, aby mogły ściągnąć aktualizacje. Dział IT powinien ściśle monitorować ten proces.

Zwróćmy uwagę, iż łaty zabezpieczające systemy Windows przed exploitem EternalBlue były wydane w marcu. Główne ataki wirusów wykorzystujących tą słabość systemu miały miejsce w maju (WannaCry) oraz w czerwcu (NotPyetya). W dużych organizacjach i korporacjach zawsze istnieje pewne opóźnienie pomiędzy wydaniem łaty (tzn. aktualizacji systemów Windows) a jej dystrybucją na serwery i stacje robocze. Trwa zarówno sprawdzenie łaty pod kątem kompatybilności z aplikacjami biznesowymi, jak i później dystrybucja aktualizacji. Dlatego istotna jest priorytetyzacja instalacji krytycznych aktualizacji.

Uważaj na zagrożenia w sieci i IT

Chyba najważniejszym elementem jest podnoszenie świadomości zagrożeń IT wśród pracowników. Zasadne jest przeprowadzanie obowiązkowych szkoleń z bezpieczeństwa informatycznego oraz bezpieczeństwa danych dla wszystkich pracowników. Największy jednak wpływ ma cykliczne przypominanie podstawowych, prostych zachowań. Mogą się one wydać oczywiste, ale życie pokazuje, że jednak nie dla wszystkich. Przykłady to: nie otwieraj podejrzanych załączników. Sprawdź adres e-mail nadawcy, nawet jeśli na pierwszy rzut oka wydaje się prawidłowy. Jeśli masz wątpliwość, nie otwieraj załączników. Jeśli dostałeś spam, zgłoś ten fakt. Blokuj pulpit komputera. Nie przyklejaj karteczki z hasłem do monitora. Rób cykliczny backup najważniejszych danych na bezpiecznym nośniku.

Jak Kevin Mitnick jakiś czas temu udowodnił, żaden firewall nie zabezpieczy nas przed inżynierią społeczną. W dobie tak wielu zagrożeń informatycznych, posiadanie podstawowej świadomości w tym zakresie przez naszych użytkowników jest już dzisiaj koniecznością, niezależnie od systemowych zabezpieczeń.

Autor:
DHL Express jest dostawcą i ekspertem na rynku międzynarodowych przesyłek ekspresowych drogowych i lotniczych, który wciąż udoskonala ofertę produktową jednocześnie dbając o najwyższe standardy jakości. Dysponując siecią połączeń w ponad 220 krajach, oferuje szeroki wachlarz rozwiązań i usług opartych na innowacyjnych technologiach i nowoczesnej infrastrukturze, które wspierają rozwój międzynarodowych biznesów klientów.

Sprawdź również:
Z kim wdrażać RODO?
Tylko połowa polskich firm gotowa na RODO
Jak zabezpieczać urządzenia mobilne?