Raport Specjalny | Bezpieczeństwo Banków – DAGMA Sp. z o.o. | Kradzież firmowych danych przez pracowników to ogromne straty dla firmy. Jak ich uniknąć?
Dane są we współczesnych czasach kluczowym składnikiem aktywów każdego przedsiębiorstwa, niezależnie czy mówimy o branży bankowej, transporcie, czy handlu. Ich utrata lub kradzież wpływa negatywnie na reputację firmy, jej przewagę konkurencyjną i rentowność. Często może też przełożyć się na potężne kary administracyjne lub sądowe. W skrajnych sytuacjach wyciek danych to początek procesu, który w szybkim czasie może prowadzić do upadłości firmy. Co jednak gorsze – każdy wyciek danych utrudnia, a nawet uniemożliwia instytucji pozyskiwanie nowych klientów.
Według amerykańskiej organizacji National Cyber Security Alliance, ok. 60% małych firm zamyka działalność w ciągu sześciu miesięcy od poważnego wycieku danych, a średni koszt pojedynczego incydentu utraty informacji sięga aż 150 tys. USD.
W Polsce wyciek danych też jest bardzo kosztowny. W ub.r. poinformowano o nałożeniu kary administracyjnej w wysokości ponad pół miliona złotych na jeden z największych banków w Polsce za „niezawiadomienie bez zbędnej zwłoki osób”, których dane wyciekły.
To tylko przykład, ile może kosztować nad Wisłą wyciek danych. Lista firm, które przez to poniosły duże straty, jest zdecydowanie dłuższa.
Nie haker, ale nieuczciwy pracownik
Mówiąc o ryzyku wycieku danych, myślimy przede wszystkim o cyberprzestępcach i wirusach komputerowych. To błąd! Aż 80% firm traci dane w wyniku błędów pracowników lub ich złośliwych działań – wynika z badań Safetica.
Okazuje się więc, że to właśnie pracownicy są najsłabszym ogniwem bezpieczeństwa firmowych danych. I nie chodzi tu o ich niefrasobliwość, ale celowe wynoszenie poufnych danych. Często takich kradzieży dokonują pracownicy, którzy przechodzą do pracy w konkurencji bądź rozpoczynają działalność na własny rachunek i zabierają ze sobą poufne dane, np. firmową bazę danych, często wraz z klientami.
Taka celowa kradzież danych to powszechne zjawisko. Według raportu Instytutu Ponemon, aż 26% przypadków utraty danych miało charakter zamierzonego i celowego postępowania pracowników. Najczęściej wykradane są informacje o klientach (61%); własność intelektualna (56%) oraz informacje o konsumentach.
Jak firmy powinny się bronić? Garść dobrych rad
- Bez względu na to, jakie dane przetwarza organizacja, istnieje kilka uniwersalnych sposobów ochrony wrażliwych informacji.
- Wykonaj audyt i znajdź wszystkie swoje wrażliwe dane. Dobrze wiedzieć, z jakimi danymi działa Twoja firma, gdzie dane są przechowywane, kto ma dostęp do pracy z nimi i może je edytować.
- Wdrażaj zasady, które określają, w jaki sposób można postępować z danymi wrażliwymi, kto może uzyskać do nich dostęp i w jakim celu.
- Zaszyfruj najważniejsze dane i upewnij się, że nawet jeśli urządzenie zostanie zgubione lub ukradzione, dane pozostaną bezpieczne.
- Dopuszczaj tylko autoryzowane urządzenia – miej kontrolę nad tym, jakie nośniki danych są podłączane do firmowego sprzętu.
- Strony internetowe do udostępniania plików, media społecznościowe, komunikatory, e-mail – blokuj przesyłanie danych lub powiadamiaj pracowników o ryzykownych operacjach.
Niezbędny program DLP
Opisane kroki zdecydowanie podniosą poziom bezpieczeństwa danych w organizacji, jednak niezbędnym elementem w przemyślanej polityce ochrony danych powinno być również odpowiednie oprogramowanie DLP (Data Loss Prevention).
Safetica DLP monitoruje przetwarzanie plików oraz wszelkich cyfrowych danych w firmie (w tym dokumenty tekstowe i maile), program rejestruje także, kto i kiedy je przegląda lub je przetwarza. Pracownicy, którzy chcą skopiować cyfrowe dokumenty na pendrive’a, widzą stosowny komunikat-ostrzeżenie, a administratorzy na bieżąco otrzymują odpowiednie raporty lub natychmiast zgłaszane są do nich zdarzenia grożące wyciekiem danych.
– Proces zabezpieczenia danych w organizacji zacząłbym od szkolenia pracowników, ponieważ zwiększenie świadomości to podstawowa zasada bezpieczeństwa. Następnie wykonania audytu, aby wiedzieć, jakie dane są gromadzone, gdzie i kto ma do nich dostęp oraz określenia zasad, w jaki sposób z danymi postępować – mówi Mateusz Piątek, Product Manager Safetica w DAGMA Bezpieczeństwo IT.
Dystrybutorem rozwiązania Safetica jest DAGMA Bezpieczeństwo IT, a partnerem wdrażającym ITgrator.
Więcej informacji na www.safetica.pl oraz www.itgrator.pl