Ryzyko wycieku danych – edukacja jako kluczowy czynnik zmniejszający ryzyko.
Znaczenie bezpieczeństwa danych osobowych dla firm, organów publicznych oraz klientów, wzrasta wraz z nowymi zagrożeniami oraz nowymi regulacjami. Nie chcąc epatować bezprecedensową skalą nadchodzących kar pieniężnych do 20 mln EUR albo do 4% całkowitego rocznego światowego obrotu, wystarczająco rozpropagowaną w ostatnich miesiącach przez liczne media, sugeruję zwrócić uwagę na inne, równie groźne i wymierne konsekwencje naruszeń.
Praktyczne przykłady
Należą do nich roszczenia odszkodowawcze klientów, których wysokość nie może być ograniczona i które mogą przewyższyć kwoty kar administracyjnych, jeżeli wystąpią z nimi masowo osoby dotknięte skutkami naruszeń. Co więcej ryzyko wzrasta, ponieważ rośnie świadomość konsumentów z przysługujących im praw.
Dodatkowo należy również pamiętać o nowym obowiązku zgłaszania incydentów ochrony danych osobowych nie tylko organowi nadzorczemu ale też osobie, której dane dotyczą. To zasadniczo zmieni skalę roszczeń, usunie podstawową barierę – trudności klienta z wykazaniem, że do naruszenia doszło oraz z udowodnieniem jego charakteru, konsekwencji i przybliżonej liczby poszkodowanych osób. Zbiega się to z osiągającą często znaczne rozmiary dotkliwością wynikającą z wpływu nagłośnienia incydentu na reputację instytucji.
Zasięg informacji o masowych wyciekach danych staje się globalny m.in. dzięki dystrybucji wielu newsletterów w dziedzinie ochrony danych, a wrażliwość klientów na takie doniesienia obejmuje wszystkie branże i wynika np. z obawy przed zaciąganiem zobowiązań na rachunki osób, których tożsamość została skradziona.
Dobrze skonfigurowane systemy mogą być niezawodne, jednak przed klawiaturą i monitorem siedzi człowiek, który często okazuje się ogniwem bardziej zawodnym niż system informatyczny. To on wysyła podejrzany załącznik poza firmę, otwiera podejrzany link przysłany spoza firmy, nie sprawdza, czy adres e-mailowy nadawcy wiadomości nie wskazuje na usiłowanie zainfekowania sieci firmowej. Często są to zachowania nieumyślne, które wynikają z braku świadomości natury zagrożeń, sposobów przeciwdziałania im i ich skutków. Należy więc skoncentrować się na zwiększaniu poziomu świadomości ryzyka wśród pracowników.
Działania edukacyjne
Obecnie szkolenia przyjmują rozmaite formy, zależne m.in. od liczebności zespołu, budżetu, kanałów komunikacji w ramach firmy. Mogą być prowadzone w formie stacjonarnej lub elektronicznej, które prowadzone przez doświadczonych trenerów mają – moim zdaniem – większą wartość, ponadto przedsiębiorstwa mogą skorzystać z nieoczywistych rozwiązań jak np. quizy i atrakcyjne w formie akcji informacyjnych.
Istotne jest, aby zakres i sposób prezentacji był dostosowany do profilu ich odbiorców. Przedstawianie nadmiernej ilości informacji specjalistycznych kierowanych np. do osób zajmujących się sprzedażą produktów lub obsługą reklamacji nie tylko nie odpowiada ich potrzebom, ale wręcz powoduje, że informacje rzeczywiście potrzebne w ich pracy znikną w natłoku pozostałych. Pracownicy o takich potrzebach zapewne nie docenią informacji o procedurach analizy ryzyka ani o rejestrze czynności przetwarzania. Znacznie cenniejsze, które pozwala uniknąć zagrożeń w wielu sytuacjach, jest np. zalecenie sprawdzania adresu e-mail adresata korespondencji wysyłanej z firmy i ostrzeżenie, że błędy wynikające z wybrania niewłaściwego adresu z kilku podobnych zdarzają się często, a ich skutki bywają bardzo dotkliwe.
Równie wartościowe – ponieważ zapobiega występującym naruszeniom – jest zalecenie unikania automatycznego wybierania opcji „odpowiedz wszystkim”, która powoduje, że korespondencja e-mailowa może trafić do osób, które nie powinny jej otrzymać np. ze względu na zasadę „need-to-know”. To również szerszy problem bezrefleksyjnego przesyłania nadmiaru informacji do obszernej listy adresatów, bez selekcji zakresu przesyłanych wiadomości, która nie tylko zapobiegałaby naruszeniu zasady proporcjonalności ale też usprawniłaby procesy opiniowania i podejmowania decyzji.
Warto też uświadamiać pracowników – na częstych przykładach – że brak selekcji danych i listy adresatów może prowadzić do uzyskania przez osoby nieuprawnione danych, które mogą następnie posłużyć do phishingu, czyli wyłudzenia danych logowania, przez podszycie się pod inną osobę lub instytucję. Nie należy również rezygnować z innych, tylko pozornie trywialnych ostrzeżeń, do których należą np. zalecenia zachowania ostrożności podczas prowadzonych w miejscach publicznych rozmów, których padają nazwiska i nazwy objęte obowiązkiem poufności.
W szkoleniach i akcjach informacyjnych należy posługiwać się językiem prostym i zrozumiałym dla praktyków. Korzystanie ze słownictwa hermetycznego lub adresowanie do pracowników przesadnie obszernych regulacji jest nieskuteczne. Celem nie jest przecież wykazanie, że firma opublikowała regulację wewnętrzną, lecz osiągnięcie skutku w postaci rzeczywistego dotarcia do pracowników z informacją o ryzykach i sposobach zapobiegania im.
To człowiek jest co do zasady najsłabszym ogniwem każdego systemu zabezpieczeń – niezależnie czy mówimy o zabezpieczeniach technicznych czy organizacyjnych. Dowodem na to, jak słabo większość osób dba choćby o bezpieczeństwo komputerowe są nadchodzące z różnych źródeł informacje o wybieranych przez ludzi hasłach dostępowych. Podsumowując, rzetelnie i systematycznie prowadzone szkolenia w sposób znaczący wpływają na podniesienie bezpieczeństwa organizacji – mówi adw. Marcin Zadrożny, Fundacja Wiedza To Bezpieczeństwo.
Autor:
Mariusz Krzysztofek – posiada doświadczenie w wykonywaniu funkcji administratora bezpieczeństwa informacji oraz eksperta, audytora i trenera w tej dziedzinie w wielu instytucjach od wejścia w życie przepisów o ochronie danych osobowych. Współpracuje z wydawnictwem C.H.Beck.
Zarządzał ochroną danych osobowych w skali globalnej wykonując tę funkcję w Brukseli w międzynarodowej grupie finansowej, a obecnie jest dyrektorem zarządzającym ochroną danych w EMEA w jednej z największych globalnych firm w sektorze FMCG.
Stopień doktora habilitowanego nauk prawnych uzyskał właśnie w tej dziedzinie. Jest autorem 5 książek na temat ochrony danych, w tym pierwszego komentarza na rynku polskim (Wydawnictwo C.H.Beck).
Wydawnictwo C.H.Beck istnieje na rynku polskim od 1993 roku, wydając publikacje z zakresu prawa, podatków, ekonomii oraz literatury akademickiej, aplikacyjnej i obcojęzycznej. W ofercie Wydawnictwa znajdują się pozycje dotyczące wszystkich dziedzin prawa, takie jak teksty ustaw, orzecznictwo, monografie, komentarze do ustaw, kodeksów napisane przez najwybitniejsze autorytety. Publikacje wydawane są w podziale na przejrzyste i logiczne serie, wśród których za sztandarowe uznać można m.in.: System Prawa Prywatnego, Duże Komentarze Becka, Komentarze Kodeksowe.