Jak chronić się przed utratą danych wewnątrz firmy? Ich zabezpieczenie powinno być zorganizowane w zakresie technologicznym w postaci odpowiedniego oprogramowania, ale również pod względem prawnym. Tylko takie podejście w pełni ochroni najcenniejsze zasoby przedsiębiorstwa, w tym często te, które stanowią przewagę nad konkurencją. 

Wyciek danych z firmy – nie zawsze winny haker

Jak wynika z danych Safetica Technologies, aż 80 proc. firm traci dane w wyniku błędów pracowników lub ich złośliwych działań. Organizacje często w ogóle nie wiedzą o tym fakcie albo dowiadują się już po nim, gdy w zasadzie nic nie mogą zrobić. Problem dotyczy zarówno małych firm, jak i dużych korporacji. Utracenie danych to konsekwencje wizerunkowe, lecz także finansowe. Może to być kara ze strony GIODO, ewentualne odszkodowania czy utracone zlecenia. To wszystko może skutkować nawet zamknięciem biznesu. 

Kiedy myślimy o wyciekach danych z organizacji, zazwyczaj jako pierwszy przychodzi do głowy atak cyberprzestępców. Tymczasem coraz większym problemem są zagrożenia wewnętrzne i wycieki danych w wyniku nierozważnego lub celowego działania pracowników. Według raportu Instytutu Ponemon liczba takich incydentów podwoiła się w ciągu ostatnich dwóch lat do 44 proc. Ponad połowa z wycieków była spowodowana nieodpowiedzialnym zachowaniem zatrudnionych osób, a 26 proc. przypadków utraty danych miało charakter zamierzonego i celowego postępowania pracowników.

Dlaczego dane firmy są tak ważne?

Informacja jest dzisiaj na rynku tak samo ważna, jak wiedza, umiejętności czy doświadczenie. Dane firmy mogą stanowić ważną kartę przetargową przy zatrudnianiu pracownika. Kandydat, który przynosi do nowego pracodawcy np. bazę handlową firmy, dane o wynagrodzeniach, informacje projektowe albo dane klientów, jest niezwykle cenny. Oczywiście jest to nieuczciwe, jednak zdarza się bardzo często. W czasach rynku pracownika może to być spory problem dla firm. Niezabezpieczone dane organizacji mogą być „zabierane” przez pracowników chcących zmienić pracę. Wysoka inflacja może spowodować, że ludzie będą chcieli zmienić pracę na lepiej płatną, a walorem dodatkowym będą informacje, z jakimi pojawią się u nowego pracodawcy – mówi Mateusz Piątek, ekspert ds. cyberbezpieczeństwa w Safetica. 

Pomijając celową, nie bójmy się tego nazwać, kradzież danych firmy, należy pamiętać, że nadal wiele jest również przypadków nieświadomego wycieku danych np. poprzez wysłanie ich na błędny adres e-mailowy czy zgubienie urządzenia, na którym się znajdują. Zdarza się to zarówno młodym, jak i bardziej doświadczonym pracownikom. Odpowiedzią na nieuczciwe praktyki, jak również przypadkowe wycieki danych jest wykorzystywanie rozwiązań technologicznych, uniemożliwiających taką sytuację. 

Bezpieczeństwo danych w firmie i rozwiązania technologiczne

Kradzież czy wyciek danych z firmy będzie niemożliwy lub bardzo utrudniony, jeśli zastosujemy np. rozwiązania DLP (Data Loss Prevention) służące do ochrony danych przed ich wyciekiem od wewnątrz organizacji. Przykładem takiego oprogramowania jest Safetica, która pozwala monitorować i kontrolować, kto i na jakich plikach pracuje w firmie oraz co się z nimi dzieje. Tym samym każde działanie pracownika na plikach ważnych z punktu widzenia firmy, tajnych bądź kluczowych dla prowadzenia biznesu, będzie odnotowane. Zarówno skopiowanie bazy danych, przesłanie plików e-mailem czy usunięcie kluczowych informacji z systemu. Ponadto oprogramowanie DLP Safetica edukuje. W przypadku kiedy pracownik chce wykonać ryzykowną dla firmy operację na plikach, np. skopiować je na pendrive albo wysłać e-mailem — otrzymuje odpowiedni komunikat, który powiadamia go o incydencie bezpieczeństwa. Pracownik w takiej sytuacji ma prawo anulować takie działanie lub je zatwierdzić. 

Decyzja o wykonaniu operacji należy do niego, jednak ślad po tym działaniu od razu zostaje w systemie, umożliwiając weryfikację czynności wykonanych przez pracownika. Firma dzięki temu jest chroniona przed wyciekiem od wewnątrz, ponieważ Safetica zabezpiecza większość możliwych kanałów dystrybucji danych, zarówno poprzez USB, chmurę czy skrzynkę e-mailową. Co ciekawe, Safetica dostępna jest również jako rozwiązanie w chmurze pod nazwą Safetica NXT, dzięki czemu firma nie musi inwestować pieniędzy w drogą infrastrukturę IT. Każda operacja na plikach jest rejestrowana, oceniana i przechowywana przy użyciu bezpiecznej platformy Microsoft Azure, a proces wdrożenia rozwiązania trwa zaledwie kilka godzin.

Prawne zabezpieczenie ważne, nie mniej niż technologia

Jak zauważają eksperci, rozwiązania technologiczne chronią przed ukryciem kradzieży czy wycieku danych, ale nie zawsze przed skutkami tych działań. Oprogramowanie wskaże, kto usunął pliki, kto je przesłał, ale nie zwróci nam poniesionych strat. Dlatego zabezpieczenie danych przed wyciekami od wewnątrz powinno być zorganizowane zarówno w zakresie technologicznym, jak i w zakresie prawnym. Wynika to z faktu, że coraz częściej zagrożeniem dla firm jest nie tyle nieuczciwa konkurencja, ile nieuczciwi pracownicy. 

Warto więc poinformować pracowników, że odpowiedzialność karna za naruszenie tajemnicy przedsiębiorstwa jest uregulowana w art. 23 ust. 1 do 3 ustawy o zwalczaniu nieuczciwej konkurencji oraz art. 266 par. 1 kodeksu karnego. We wszystkich wypadkach przestępstwo zagrożone jest karą grzywny, karą ograniczenia wolności albo pozbawienia wolności do lat dwóch. 

Warunkiem kluczowym do dochodzenia swoich praw jest jednak poinformowanie pracownika, o konsekwencjach nieuczciwego działania. Tym samym firma musi w odpowiedni sposób zabezpieczyć się pod względem prawnym. Kluczowe więc jest zawieranie umów NDA z pracownikami, czyli umów o zachowaniu poufności. W sieci łatwo można znaleźć przykładowe umowy NDA, ale warto, aby taką umowę sporządził lub zaopiniował znający się na rzeczy prawnik. 

Niezwykle ważne jest też wprowadzenie w firmie zasad informowania pracowników o posiadanych informacjach poufnych, klasyfikowanie tych informacji, regularne szkolenia czy wywiad końcowy z odchodzącym pracownikiem. Rozwiązania prawne wdrożone w firmie, w połączeniu z oprogramowaniem dowodzącym nieuczciwego zachowania pracownika, pozwoli na stworzenie naprawdę kompleksowej ochrony danych w przedsiębiorstwie. 

Jak chronić się przed utratą danych od wewnątrz firmy?

Bez względu na to, jakie dane przetwarza firma, istnieje kilka uniwersalnych sposobów ochrony wrażliwych informacji. Przede wszystkim przedsiębiorstwa powinny wykonać audyt i znaleźć wszystkie swoje wrażliwe dane. Dobrze wiedzieć, z jakimi danymi działa firma, gdzie są przechowywane, kto ma dostęp do pracy z nimi i może je edytować. Należy edukować pracowników i wyjaśnić im, jak ważne jest bezpieczeństwo danych dla firmy. Powinni być świadomi, jakie są konsekwencje ich niewłaściwego wykorzystania. Kluczowy będzie też monitoring nowych i odchodzących pracowników, sprawdzenie ich przeszłości, a także stworzenie bezpiecznego procesu opuszczania firm. To daje pewność, że odchodzący pracownicy nie zabiorą ze sobą żadnych danych.

Edukacja i ostrożność to jedno. Przede wszystkim jednak należy zabezpieczyć nasze dane na tyle, w jakim stopniu jesteśmy w stanie to zrobić za pomocą rozwiązań technologicznych. Warto zaszyfrować najważniejsze dane i upewnić się, że nawet jeśli sprzęt zostanie zgubiony lub ukradziony, dane pozostaną bezpieczne. Warto mieć też oprogramowanie, które będzie monitorować, co się dzieje z naszymi danymi, kto je przetwarza, w jakim celu, gdzie je wysyła. Choć nie zawsze jest to dobrze postrzegane przez pracowników, jak również nie w każdej branży da się to zrobić, warto blokować na służbowym sprzęcie strony do udostępniania plików, media społecznościowe i komunikatory. Jeśli ze względu na profil pracownika nie można tego zrobić, warto powiadamiać pracowników o ryzykownych operacjach.

Do wycieku danych często dochodzi za pośrednictwem poczty e-mail. Dlatego pracodawcy powinni ograniczyć wysyłanie danych na nieznane zewnętrzne adresy e-mail, monitorować pocztę, ale także powiadamiać pracowników o potencjalnym naruszeniu. Nieuczciwym pracownikom da to do myślenia, a tym, którzy przypadkowo chcieli przesłać nieuprawnione pliki, pozwoli zyskać dodatkową wiedzę o bezpieczeństwie danych w przedsiębiorstwie. Wprowadzenie tego typu rozwiązań przy jednoczesnym zabezpieczenie danych pod względem prawnym pozwoli zdecydowanie podnieść poziom bezpieczeństwa firmowych zasobów.

Webinar - Jak zabezpieczyć dane firmy przed nieuczciwym pracownikiem