Kiedy dane wyciekają z firmy

Przypadek, a nie celowe działanie pracowników, jest najczęstszą przyczyną wycieku danych z firmy.

Po co jest DLP

Systemy DLP powstały ze względu na regulacje określające dane, które muszą podlegać szczególnej ochronie. W Polsce taką regulacją jest ustawa o ochronie danych osobowych. Z biegiem czasu okazało się, że częściej od tego co musi, firma chroni to, czego potrzebuje, czyli szeroko pojętą własność intelektualną. Szacuje się, że własność intelektualna to 60-70% wartości przedsiębiorstwa. Wdrożenie systemu DLP umożliwia identyfikację stanu początkowego i błędów obsługi procesów biznesowych w firmie. Powiadamianie pracowników i osób pracujących z danymi chronionymi ma na celu edukację, która podwyższy świadomość pracowników. Dzięki temu po dobrym wdrożeniu DLP znacząco maleje liczba incydentów wycieku danych z firmy.

Jest wiele czynników, które powodują, że firmy muszą coraz bardziej dbać o bezpieczeństwo danych. Zagrożenia związane są z: coraz bardziej zaawansowanymi atakami, zmianą infrastruktury IT, , stosowaniem cloud computing, a także informacjami, które nie powinny wydostać się poza firmę. Ryzyko wzrasta, a wraz z nim koszty obsługi incydentów.

Aby minimalizować ryzyko utraty danych, firmy stosują następujące warstwy ochrony firmy:

- ochrona infrastruktury;

- zarządzanie infrastrukturą;

- uwierzytelnienie osób - identyfikacja osób, które mają dostęp do zasobów firmowych, może odbywać się nie tylko za pomocą loginów i haseł;

- systemy proaktywnej ochrony informacji;

- polityki bezpieczeństwa - spisane i egzekwowane reguły zachowania bezpieczeństwa informacji w organizacji.

Z doświadczeń i badań firmy Symantec wynika, że największa liczba wycieków danych w firmach bierze się z przypadkowego zachowania, nieuwagi, a nie celowego działania. W ostatnich latach zauważalny jest udział zdarzeń wywołanych celową działalnością pracowników. "Z przeprowadzonej przez nas ankiety wynika, że 88% firm na świecie doświadczyło utraty danych. Aż 59% pracowników przyznało, że przy odejściu z firmy zabiera ze sobą informacje firmowe. W Polsce odsetek ten jest podobny, wynosi 60%" - mówi Maciej Iwanicki z firmy Symantec. Sposób zabierania tych danych jest zwykle trywialny. Pracownicy kopiują informacje na dyski zewnętrzne lub przesyłają je pocztą elektroniczną na zewnętrzne konta.

Narzędzia i ludzie

Niezależnie od tego, czy działania są przypadkowe, czy celowe, winni są ludzie. Można ich podzielić na trzy grupy. W pierwszej są lojalni pracownicy firmy, którzy czasami zrobili coś przez przypadek, omijając procedury, by ułatwić sobie pracę. Do drugiej należą niezadowoleni pracownicy ze złymi intencjami, którzy mogą czerpać korzyści z posiadania informacji firmowych przy przejściu do innej organizacji. Trzecia grupa to ludzie, którzy organizują ukierunkowane ataki na firmy, w celu wykradnięcia informacji.

Aby zmniejszyć ryzyko utraty informacji, niezbędne są narzędzia i procedury współpracujące z ludźmi. Narzędzia muszą umożliwić identyfikację danych firmowych, dostarczyć informacji, które pozwolą zrozumieć, w jaki sposób dane organizacji są wymieniane ze światem zewnętrznym, a także w środku firmy. Informacje są bazą do wdrożenia systemu przeciwdziałającego wyciekowi danych z firmy.

Zagadnieniom ochrony informacji w firmie poświęcona była Konferencja Symantec.Future.

Dane osobowe zgodnie z paragrafem

Jednym z problemów związanych z szeroko pojętym bezpieczeństwem jest ochrona danych osobowych indywidualnych przedsiębiorców. Zmiana w przepisach sprawiła, że od początku 2012 r. dane osobowe przedsiębiorców prowadzących własną działalność gospodarczą podlegają ochronie. W związku z tym każdy administrator posiadający dane osobowe przedsiębiorców musi wykazać podstawę prawną przetwarzania tych danych. Musi spełnić względem tych przedsiębiorców obowiązek informacji, to znaczy udzielić informacji, po co zbiera dane i kto jest ich potencjalnym odbiorcą.

Biometria: tak czy nie?

Poważnym problemem jest kwestia używania danych biometrycznych, w celu ewidencji czasu pracy. Zagadnienia nie są uregulowane w Kodeksie pracy. Zespół roboczy ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych uważa, że jeśli pracownik wyrazi zgodę na stosowanie biometrii w ewidencji czasu pracy, to można ją stosować. Sąd uznał, że zgoda pracownika nie jest wystarczająca i czytniki biometryczne można stosować tylko w niektórych przypadkach, np. do weryfikacji wejść do miejsca, które jest szczególnie chronione i mogą w nim przebywać tylko wybrane osoby.

Zmiany prawne

Prawnicy zwracają uwagę na przygotowywane rozporządzenie unijne regulujące kwestie ochrony danych osobowych. Reguluje ono kwestie zgody na przetwarzanie danych osobowych. Daje obywatelom prawo wystąpienia do administratora o informacje, jakie dane na ich temat posiada, prawo do przenoszenia swoich danych i prawo do bycia zapomnianym, czyli wystąpienia do administratora o usunięcie danych we wszystkich miejscach, do których je przekazano. Rozporządzenie kładzie nacisk na kwestie związane z prywatnością i ochroną bezpieczeństwa. Wprowadzona zostaje też koncepcja Privacy by Design, która mówi, że należy dbać o ochronę prywatności i bezpieczeństwo w trakcie całego procesu korzystania z systemów informatycznych, od etapu projektowania rozwiązania informatycznego, przez jego budowę, po eksploatację. Choć przepisy wejdą w życie nie wcześniej niż za 3-5 lat, skutki są tak poważne, że należy o nich myśleć już teraz, projektując rozwiązania IT.