Jak zabezpieczy? dane w organizacji?

Dane firm i instytucji przep?ywaj? zarówno oficjalnymi jak i nieoficjalnymi kana?ami, takimi jak poczta e-mail, komunikatory, drukarki, czy rozwi?zania chmurowe. Je?li pracownicy nie potraktuj? danych z odpowiedni? staranno?ci?, a firma czy instytucja nie wdro?y nale?ytych rozwi?za?, mog? one w ?atwy sposób zosta? utracone. Poznaj 10 najwa?niejszych zasadach, aby zabezpieczy? si? przed wyciekiem danych od wewn?trz organizacji.

Ataki internetowych przest?pców czy dzia?anie z?o?liwego oprogramowania to zazwyczaj najbardziej spektakularne i g?o?ne przypadki kradzie?y firmowych zasobów. W wi?kszo?ci przypadków poszkodowana jest nie tylko sama organizacja, na któr? przeprowadzono atak, ale równie? niezliczona liczna osób czy podmiotów, których utracone dane dotyczy?y. Coraz wi?kszym problemem s? jednak zagro?enia wewn?trzne i wycieki danych w wyniku nierozwa?nego lub celowego dzia?ania pracowników. Wg raportu Instytutu Ponemon liczba takich incydentów podwoi?a si? (wzrost o 44%) w ci?gu ostatnich dwóch lat! Ponad po?owa z nich spowodowana by?a nieodpowiedzialnym zachowaniem zatrudnionych osób, a 26% przypadków utraty danych mia?o charakter zamierzonego i celowego post?powania pracowników.

Jak firmy trac? swoje dane?

– Wed?ug ameryka?skiego National Cyber ??Security Alliance oko?o 60% ma?ych firm zamyka si? w ci?gu sze?ciu miesi?cy od powa?nego wycieku danych, a a? 85% do?wiadcza naruszenia bezpiecze?stwa danych. Koszty takich zdarze? liczone s? cz?sto w milionach lub dziesi?tkach milionów – mówi Mateusz Pi?tek, ekspert ds. bezpiecze?stwa w Safetica. Motywacje tzw.„z?o?liwych insiderów” do niew?a?ciwego wykorzystania danych firmy mog? wynika? z ch?ci zaszkodzenia firmie, zarobku czy budowania w?asnej kariery. Pracownicy mog? równie? dopu?ci? si? zaniedba? i przypadkowo wys?a? dane poza firm?. Wi?kszo?? zagro?e? wewn?trznych jest niezamierzona i pojawia si? z ró?nych powodów, takich jak hybrydowy tryb pracy i wykorzystywanie w?asnych urz?dze? w ramach popularnej koncepcji Bring Your Own Device, w skrócie BYOD. Pracownicy cz?sto nie s? ?wiadomi procesów bezpiecze?stwa, a administratorzy sieci nie maj? odpowiednich narz?dzi do nadzorowania przep?ywu danych i wychwytywania potencjalnych ryzyk – dodaje Mateusz Pi?tek.  

Przyk?ady zagro?e? wewn?trznych

• Szpital w Gliwicach – dosz?o w nim do wycieku danych pacjentów, którzy korzystali z wymazów w kierunku SARS-CoV2. Utracono m.in. imiona, nazwiska i numery PESEL. Eksperci nie maj? w?tpliwo?ci, ?e dane pacjentów mog? pos?u?y? oszustom do zaci?gania np. niechcianych kredytów.
• Urz?d Miasta Wronki – dane zosta?y skopiowane z komputera s?u?bowego przez jednego z pracowników urz?du. W?ród nich by?y m.in. imiona i nazwiska, adresy zamieszkania czy numery PESEL oraz dokumenty zwi?zane z rozliczeniami mieszka?ców czy wynajmem miejskich lokali.
• Coca-Cola – w 2018 roku okaza?o si?, ?e odchodz?cy pracownik mia? zewn?trzny dysk twardy, na którym znajdowa?y si? informacje skradzione z Coca-Coli. Gdy sprawa wysz?a na jaw, firma wys?a?a powiadomienia o naruszeniu do oko?o 8 tys. osób, których dane zosta?y skopiowane. By?y pracownik zabra? je ze sob?, gdy opuszcza? firm?.
• Trend Micro- firma do?wiadczy?a wycieku danych przez pracownika, który mia? dost?p do bazy danych obs?ugi klienta zawieraj?cej nazwiska, adresy e-mail inumery zg?osze? serwisowych. Nieuczciwy pracownik sprzeda? wra?liwe dane zewn?trznemu podmiotowi.

Jak chroni? si? przed utrat? danych od wewn?trz firmy?

Bez wzgl?du na to, jakie dane przetwarza organizacja, istnieje kilka uniwersalnych sposobów ochrony wra?liwych informacji.

1. Wykonaj audyt i znajd? wszystkie swoje wra?liwe dane. Dobrze wiedzie? z jakimi danymi dzia?a Twoja firma, gdzie dane s? przechowywane, kto ma dost?p do pracy z nimi i mo?e je edytowa?.
2. Wdra?aj zasady które okre?laj? w jaki sposób mo?na post?powa? z danymi wra?liwymi, kto mo?e uzyska? do nich dost?p i w jakim celu. Upewnij si?, ?e zasady s? ?atwe do zrozumienia.
3. Edukuj pracowników i wyja?niaj im, jak wa?ne jest bezpiecze?stwo danych. Powinni by? ?wiadomi, z jakimi danymi dzia?a firma i jakie s? konsekwencje ich niew?a?ciwego wykorzystania.
4. Zaszyfruj najwa?niejsze dane i upewnij si?, ?e nawet je?li sprz?t zostanie zgubiony lub ukradziony dane pozostan? bezpieczne.
5. Monitoruj nowych i odchodz?cych pracowników – sprawdzaj przesz?o?? nowych pracowników. Stwórz bezpieczny proces opuszczania firmy, aby mie? pewno??, ?e odchodz?cy pracownicy nie zabior? ze sob? ?adnych danych. Je?li podejrzewasz mo?liwo?? narusze?, miej ich na oku i kontroluj, do jakich danych maj? dost?p i czy jest im potrzebny.
6. Dopuszczaj tylko autoryzowane urz?dzenia – miej kontrol? na tym jakie no?niki danych s? podpinane do firmowego sprz?tu. W po??czeniu z odpowiednia klasyfikacj? plików, utrudni to kopiowanie wra?liwych danych poza organizacj?.
7. Strony do udost?pniania plików, media spo?eczno?ciowe i komunikatory – blokuj przesy?anie danych lub powiadamiaj pracowników o ryzykownych operacjach.
8. E- mail – ogranicz wysy?anie danych na nieznane zewn?trzne adresy e-mail, powiadamiaj pracowników o potencjalnym naruszeniu.
9. Internet, chmura, O365 – Ogranicz przesy?anie danych do nieoficjalnych kana?ów poza firm? i powiadom o tym pracowników.
10. Drukarki – Sprawdzaj na podstawie informacji kontekstowych, jakie dokumenty drukuj? Twoi pracownicy. Odkryjesz potencjalne naruszenia bezpiecze?stwa danych i ograniczysz mo?liwo?? drukowania dokumentów z wra?liwymi danymi.