Wyciek danych pracowników i klientów firmy — Metody zabezpieczania danych

Zapobieganie wyciekom danych obejmuje nie tylko konkretne technologie mające zapobiegać naruszeniu bezpieczeństwa informacji chronionych (na przykład osobowych, finansowych, uwierzytelniających i innych), ale też odpowiednie procesy i procedury dotyczące postępowania pracowników firmy, gdyż nawet najlepsze zabezpieczenia techniczne nie są w stanie ochronić przed nieostrożnym lub niebezpiecznym postępowaniem użytkowników. Z tego powodu niezbędna jest również odpowiednia edukacja w zakresie bezpieczeństwa danych i przestrzegania ściśle określonych procedur. Kiedy nastąpi wyciek poufnych informacji, mogą zostać one wykorzystane przez osoby do tego niepowołane w celach, na jakie nie zgadzały się osoby wyrażające zgodę na przechowywanie i przetwarzanie informacji poufnych. Z tego też powodu ujawnienie informacji o pracownikach, klientach, kontrahentach czy firmie jest nielegalne i może być niebezpieczne, jeśli trafią one w ręce nieuczciwych osób.

Z niniejszego artykułu dowiesz się między innymi:

• Czym jest wyciek danych osobowych i finansowych oraz jakie dane pracowników i klientów są na niego narażone;

• Jakie mogą być przyczyny wycieku danych w firmach;

• Jakie przepisy prawne regulują ochronę danych osobowych w Polsce i UE;

• Jakie mogą być konsekwencje wycieku danych dla firmy, pracowników i klientów;

• W jaki sposób firmy mogą zminimalizować ryzyko wycieku danych;

• Jakie działania należy podjąć tuż po wykryciu wycieku;

• Jakie są obowiązki pracodawcy w przypadku wycieku danych;

• Jak komunikować, że doszło do incydentu wycieku danych pracowników i klientów;

• Jak przygotować się na potencjalne kontrole i kary ze strony UODO.

Wyciek danych osobowych i finansowych — Czym jest i jakie dane pracowników oraz klientów są na niego narażone?

Wyciek danych to incydent bezpieczeństwa, w wyniku którego chronione, poufne i wrażliwe informacje zostają ujawnione nieupoważnionym do tego systemom lub osobom. Zazwyczaj pod chronioną bazę danych trafiają takie informacje jak: loginy i hasła dostępu, adresy e-mail, PESEL, treści wiadomości prywatnych lub służbowych, zdjęcia, numer i seria dowodu osobistego, dane kont bankowych, numery kart kredytowych i inne. Co ważne, nie każdy wyciek poufnych informacji jest wynikiem cyberataku, gdyż może nastąpić również z innych przyczyn: niewłaściwej konfiguracji systemów, zaniedbań proceduralnych czy w wyniku ludzkiego błędu. Może on przyjąć różne formy — od zaawansowanych ataków hakerskich, przez niezabezpieczenie bazy danych i upublicznienie jej w sieci czy złośliwe działania pracowników na szkodę firmy, aż po przypadkowe wysłanie dokumentów do niewłaściwego odbiorcy.

Informacje poufne gromadzone w bazach danych dzieli się na:

• dane osobowe (imię i nazwisko, adres, numer PESEL, dane kontaktowe, numer i seria dowodu osobistego itp.);

• dane finansowe (dane kont bankowych, numery kart kredytowych, historia transakcji itp.);

• dane biznesowe (dane kontrahentów i klientów, tajemnice i strategie handlowe itp.);

• dane uwierzytelniające (loginy i hasła, tokeny dostępu, klucze API, pytania pomocnicze do logowania, e-maile i numery telefonów uwierzytelniające itp.);

• dane medyczne (wyniki badań, historia chorób, informacje o przebiegu leczenia itp.).

Różnica między wyciekiem a naruszeniem danych chronionych

Warto jeszcze wspomnieć, że między wyciekiem a naruszeniem danych istnieją zasadnicze różnice pod względem technicznym i prawnym, chociaż pojęcia te są błędnie stosowane zamiennie. Naruszenie jest znacznie szerszym pojęciem, które może obejmować nie tylko sam wyciek, czyli nieuprawnione ujawnienie danych czy uzyskanie do nich dostępu przez osoby nieupoważnione, ale też niezgodne z prawem zmodyfikowanie informacji chronionych, zniszczenie lub utracenie w wyniku błędów ludzkich bądź technicznych. Oznacza to, że nie każde naruszenie jest wyciekiem, ale każdy wyciek podchodzi pod naruszenie danych osobowych, finansowych, biznesowych, medycznych bądź uwierzytelniających.

Kolejną z różnic jest zakres odpowiedzialności i wymaganych działań w przypadku naruszenia, gdzie administrator ma obowiązek prawny przeprowadzić analizę ryzyka oraz powiadomić organ nadzorczy i osoby, których dane zostały naruszone. Z kolei wyciek poufnych informacji niepodlegających pod RODO nie wymaga takich działań, chociaż jedną z dobrych praktyk biznesowych jest stosowanie podobnego postępowania.

Pod względem technicznym, naruszenie danych obejmuje również sytuacje ich czasowej niedostępności lub utraty przez nie integralności, zaś w przypadku, kiedy dane wyciekły, zawsze oznacza to kompromitację poufności informacji, co ma szczególne znaczenie przy planowaniu odpowiedzi na incydenty wycieku oraz wdrażanie mechanizmów bezpieczeństwa. Monitorowaniem incydentów naruszenia chronionych danych zajmuje się CERT Polska działający w strukturach NASK. Można również zwiększyć ochronę poprzez monitoring aplikacją BIK, która wysyła tak zwane Alerty BIK w celu zasygnalizowania każdorazowej próby wykorzystania poufnych informacji.

Przyczyny wycieku danych w firmach

Badania wskazują, że główną przyczyną wycieku chronionych danych w firmach nadal pozostaje tzw. błąd ludzki, który wynosi aż ok. 82% wszystkich incydentów. Kategoria ta obejmuje: nieumyślne działania wynikające z nieostrożności lub braku wystarczającej wiedzy w zakresie ochrony informacji chronionych, świadome łamanie przez pracowników procedur lub zaniechania niektórych kroków w celu "przyspieszenia" bądź "ułatwienia" pracy, nieumyślne wysłanie dokumentów do niewłaściwych odbiorców, a także celowe szkodliwe działanie na rzecz firmy (np. zabieranie ze sobą chronionych informacji firmowych podczas odejścia naruszając politykę bezpieczeństwa i regulacje prawne). Co więcej, w ostatnim przypadku odnotowano, że aż 25% byłych pracowników narusza świadomie procedury dot. bezpieczeństwa poufnych informacji, działając w interesie konkurencji.

Błędy konfiguracyjne systemów i aplikacji są drugą co do częstotliwości przyczyną wycieków poufnych informacji. Najbardziej zagrożone na wyciek są chmurowe bazy danych oraz buckety S3 (te z kolei po złym skonfigurowaniu prowadzą do masowego wycieku danych wrażliwych pracownika, klientów, kontrahentów i firmowych). Tego typu błędy odpowiadają za 14% wszystkich wycieków według badań podsumowanych w Verizon Data Breach Investigations Report.

Mimo powszechnej opinii, że to właśnie ataki hakerskie są główną przyczyną wycieku, zajmują dopiero trzecie miejsce zgodnie z wynikami badań zamieszczonych w raporcie "Verizon Data Breach Investigations Report". Znacznie częściej użytkownicy padają ofiarą phishingu i innych technik manipulacyjnych, w efekcie których osoba nieuprawniona uzyskuje dostęp do informacji chronionych znajdujących się w posiadaniu osób z wysokimi uprawnieniami. W szczególności znacznie łatwiej doprowadzić do wycieku nie przestrzegając zasad bezpieczeństwa pracy zdalnej, gdzie dostęp do informacji wrażliwych jest łatwiejszy ze względu na to, że urządzenia oraz połączenie znajdują się poza kontrolą firmy. Istnieje ryzyko, że zagrożenie może pojawić się w prywatnym czasie pracownika, który przegląda treści online w sposób mniej odpowiedzialny. Co więcej, według badań, aż 36% wszystkich ataków hackerskich rozpoczyna się od udanego phishingu, czyli sytuacji, w której osoba nieupoważniona podszywa się pod konkretną osobę lub instytucję w celu wyłudzenia danych uwierzytelniających bądź innych, które mogą pomóc w uzyskaniu dostępu do informacji chronionych za pośrednictwem sieci, a następnie wykorzystania ich niezgodnie z prawem. Dlatego też, jeśli pracujesz zdalnie, zastosuj metody zabezpieczenia urządzenia, na którym masz dostęp do danych firmowych oraz połączenia z siecią, stosuj unikalne hasła (inne, niż na swoich kontach prywatnych) oraz sprawdź, czy Twoje dane są bezpieczne i nie mają do nich dostępu inni domownicy.

Które informacje chronione najczęściej wyciekają?

Warto wspomnieć, że aż 73% wszystkich wycieków stanowią podstawowe informacje, jak imiona, nazwiska, numery telefonów i adresy e-mail. Mają one największą wartość, gdyż każda firma je przetwarza i ich wartość na czarnym rynku pozostaje niezmiennie wysoka.

Drugim w kolejności są dane uwierzytelniające, jak loginy, hasła, klucze API, tokeny itp. Ten typ jest szczególnie niebezpieczny, gdyż prowadzi do szeregu naruszeń — zwłaszcza ze względu na to, że większość osób wykorzystuje te same hasła do kilku kont, co może prowadzić do uzyskania dostępu do wielu naraz.

Na trzecim miejscu znajdują się dane finansowe, takie jak numery kont w banku, historie transakcji, numery kart kredytowych i podobne. Pomimo tego, że takie informacje są lepiej chronione od innych, osoby dopuszczające się ataków hackerskich właśnie dla tej grupy są w stanie poświęcić więcej zasobów, aby je tylko pozyskać za pośrednictwem sieci, gdyż te przynoszą najwięcej korzyści majątkowych, ale też wiążą się z ogromnym ryzykiem. Ponadto wymagają również więcej umiejętności od osoby, która przeprowadza cyberatak w celu ich pozyskania i obejścia zabezpieczeń. Jednakże coraz częściej dochodzi również do przechwycenia informacji na temat zdrowia — w szczególności wykorzystywane są w celu wyłudzeń lub szantażu na osobach, które cenią swoją reputację. Spośród wszystkich incydentów wycieku według badań z "Verizon Data Breach Investigations Report" to właśnie ta grupa ma najbardziej dynamiczny wzrost w porównaniu do poprzednich lat.

Jakie przepisy prawne regulują ochronę danych osobowych w Polsce i UE?

Warto wspomnieć, że w Polsce ochrona danych osobowych jest regulowana przez:

• RODO (Rozporządzenie o Ochronie Danych Osobowych);

• Ustawę o Ochronie Danych Osobowych z dnia 10 maja 2018 r.;

• Dyrektywa DODO z dnia 6 lutego 2019 r.;

• Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną;

• Ustawa z dnia 16 lipca 2004 r. Prawo Telekomunikacyjne;

• Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Z kolei zgodnie z rozporządzeniami Unii Europejskiej przepisy prawne o ochronie danych są regulowane przez:

• Dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości;

• Ustawę z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Konsekwencje wycieku danych dla pracowników, klientów i firmy

Wyciek poufnych danych może być dotkliwy w konsekwencjach przede wszystkim dla osób, których dane zostały ujawnione. Może prowadzić do kradzieży tożsamości, strat finansowych, utraty reputacji czy naruszenia prywatności. Jednak i dla samych organizacji skutki wycieku chronionych informacji niesie szereg konsekwencji, nie tylko prawnych, ale i wizerunkowych. Incydent naruszenia bezpieczeństwa poufnych informacji osobowych, finansowych, uwierzytelniających, biznesowych, medycznych skutkuje utratą zaufania klientów i partnerów biznesowych, karami regulacyjnymi i pozwami sądowymi oraz utratą wizerunku w branży.

Jak firmy mogą zminimalizować ryzyko wycieku danych?

Starając się zminimalizować ryzyko wycieku poufnych informacji jako firma, należy przede wszystkim zacząć od zadbania, aby systemy zostały odpowiednio skonfigurowane. Następnie wyznaczyć osoby odpowiedzialne za przeprowadzanie regularnych aktualizacji, co pomoże w zminimalizowaniu ryzyka naruszeń. Należy zadbać również o silne hasła, zabezpieczenie połączenia z siecią i szyfrowanie danych dostępu, aby nie dostały się w ręce niewłaściwych osób (ważne, aby zadbać o zabezpieczenie ich transmisji), a także wdrożenie uwierzytelniania dwuskładnikowego (2FA). Pomoże również opracowanie procedur bezpieczeństwa w taki sposób, aby jak najbardziej zmniejszyć ryzyko.

Firma powinna zadbać również o szkolenia dla pracowników, aby jak najbardziej zminimalizować błędy ludzkie wynikające z braku dostatecznej wiedzy o cyberbezpieczeństwie i zabezpieczaniu informacji chronionych oraz o procedurach. Również wdrożenie regularnych kontroli dotyczących przestrzegania przez pracowników procedur bezpieczeństwa pomoże zminimalizować sytuacje "skracania" i "ułatwiania" sobie przez nich pracy, a także pomoże zminimalizować ryzyko kradzieży chronionych informacji przez pracowników lub kontrahentów i wynoszenie ich poza firmę, gdzie może dojść do ich nielegalnego wykorzystania. Z kolei edukacja personelu dotycząca cyberbezpieczeństwa i dbanie o to, aby w systemie było jak najmniej luk, pomoże uchronić co najmniej częściowo przed potencjalnym atakiem hackerskim i dostania się poufnych informacji w niepowołane ręce. Chociaż może to wydawać się absurdalne, ale przechowywanie jak najmniejszej ilości niezbędnych poufnych informacji na urządzeniach pracowników i dawanie do nich dostępu tylko nielicznym osobom jest praktyką, która pomaga znacząco ograniczyć błąd ludzki i sprawić, że bazy będą bardziej bezpieczne. Warto również korzystać z monitorowania poufnych informacji w sieci przy pomocy portalu BIK, w którym można aktywować tzw. Alerty BIK, dzięki którym sprawdzisz, czy Twoje dane są bezpieczne.

Kiedy trudniej sprawować kontrolę nad incydentami wycieku?

Niestety ciężej sprawować kontrolę nad utratą lub kradzieżą urządzeń firmowych, co może się zdarzyć w szczególności w przypadku pracy w trybie zdalnym lub u pracowników mobilnych. Również atak bardziej uzdolnionego hackera może spowodować, że nawet poprawa zabezpieczeń w firmie okaże się niewystarczająca. W takim przypadku pomóc może szybkie zareagowanie na wyciek i monitorowanie poufnych informacji.

Jakie działania należy podjąć natychmiast po wykryciu wycieku?

W przypadku wykrycia naruszenia, do obowiązku pracodawcy należy jak najszybsze skontaktowanie się z administratorem danych, firmą czy instytucją, która zajmowała się ich przechowywaniem w celu zgłoszenia podejrzenia, że nastąpił wyciek danych. Pomoże to w uzyskaniu dodatkowych informacji dotyczących potencjalnych zagrożeń, co pomoże zaplanować podjęcie odpowiednich działań. Następnie, jeśli doszło do zagrożenia, należy zgłosić incydent do organu nadzorczego, który prowadzi postępowania w przypadku naruszeń chronionych informacji. Na terenie Polski jest to UODO (Urząd Ochrony Danych Osobowych). Pomóc może również CERT Polska działający w strukturach NASK. Od razu po potwierdzeniu, że doszło do przestępstwa, należy powiadomić również organy ścigania — warto pamiętać, że od czasu wykrycia incydentu, pracodawca zgodnie z przepisami ma na to 72 godziny. Firmy działające w sektorze finansowym, muszą złożyć powiadomienie o wycieku do Komisji Nadzoru Finansowego (KNF). Z kolei jeśli wyciek ma podłoże telekomunikacyjne, niezbędne jest powiadomienie Urzędu Komunikacji Elektronicznej (UKE).

Jak zwiększyć bezpieczeństwo informacji chronionych po wycieku?

Po wykonaniu tych kroków należy niezwłocznie powiadomić klientów i pracowników o incydencie wycieku, a następnie skorzystać z programów antywirusowych i monitorować konta, raporty oraz inne informacje chronione, czy nie doszło do podejrzanych aktywności (warto pamiętać, że według badań osoby, które monitorują swoje bazy online, mają aż o 47% większą szansę uniknięcia kompromitacji w przypadku wycieku).

Czym monitorować naruszenie poufnych informacji?

W celu monitorowania informacji chronionych drogą online warto założyć konto w portalu BIK, w którym będzie można aktywować również Alerty BIK, które będą ostrzegać przed użyciem danych osobowych. Można skorzystać również z innych serwisów do monitoringu informacji chronionych, jak: https://bezpiecznedane.gov.pl/ (utworzony przez Centralny Ośrodek Informatyki — dostęp uzyskuje się przez zalogowanie Profilem Zaufanym) czy https://haveibeenpwned.com (Have I Been PWNED służący do sprawdzania, czy wrażliwe informacje nie zostały upublicznione). Poza monitoringiem zaleca się również podjęcie innych środków ochrony, jak zmiana haseł, blokada kart, zmiana uwierzytelniania dostępu i inne.

Jak komunikować incydent wycieku danych klientom i pracownikom?

Warto mieć na uwadze, że bagatelizowanie wycieku może doprowadzić do utraty zaufania klientów, kontrahentów lub pracowników, które było budowane latami, gdyż to właśnie ich poufne informacje zostały naruszone. Dlatego też nie bez znaczenia pozostaje komunikacja. Należy przede wszystkim nie ukrywać faktu, że doszło do incydentu, gdyż to właśnie oni odczują konsekwencje całego zajścia. Należy udzielić informacji, kiedy doszło do wycieku, zapewnić, że odpowiednie kroki zostały podjęte od razu po jego wykryciu, następnie zgłoszone odpowiednim organom, a także poinformować o możliwych konsekwencjach i zapewnić o zmianie sposobu ochrony poufnych informacji. Można polecić im również założenie konta w aplikacji BIK w celu śledzenia, gdzie dane zostają wykorzystane. Należy pamiętać, że zaufanie klientów, pracowników i partnerów biznesowych zostało nadszarpnięte i jego odbudowa będzie wymagała czasu oraz podjęcia odpowiednich działań — zwłaszcza jeśli dotyczy to wycieku chronionych informacji finansowych. Osoby, które są na bieżąco informowane o podejmowanych krokach są skłonne bardziej ufać markom. Należy również sporządzić dokładną analizę ryzyka skutków incydentu i na bieżąco informować o przebiegu postępowania mającego na celu zaradzić następstwom wycieku. Warto również edukować klientów, partnerów biznesowych oraz pracowników firmy odnośnie metod ochrony ich danych osobowych, a także zadbać o odpowiednią rekompensatę za błąd firmy. Nie obędzie się również bez wystosowania publicznego ogłoszenia o wycieku.

Zachowanie takiej przejrzystości w komunikacji skutkuje:

• zwiększeniem zaufania do marki;

• odpowiedzialnością (uczciwe reagowanie w sytuacjach kryzysowych buduje wiarygodność);

• budowaniem długotrwałych relacji z klientami, partnerami biznesowymi i pracownikami;

• wspieraniem kultury zaufania w firmie.

Jak przygotować się na ewentualne kontrole i kary ze strony UODO?

Niezbędne jest wystosowanie kompletnego zgłoszenia do UODO, które pomoże organom nadzorczym w ocenie okoliczności i ryzyka wycieku oraz podjęcie odpowiednich działań, które mają na celu zminimalizowanie skutków incydentu. Należy pamiętać, że złożenie niekompletnej dokumentacji z raportem lub przekroczenie terminu 72 godzin skutkuje nałożenie kar ze strony organu nadzorczego w postaci jednorazowych kar finansowych i dalszych konsekwencji prawnych, w wyniku których mogą być znacznie wyższe kary: w przypadku mniejszych i średnich firm sięgająca do 10 mln euro + kara sięgająca do 2% całkowitego rocznego obrotu z poprzedniego roku obrotowego bądź w przypadku większych firm sięgająca do 20 mln euro + kara sięgająca do 4% całkowitego rocznego obrotu z poprzedniego roku obrotowego. Nałożenie takiej kary prowadzi do znacznych strat finansowych przedsiębiorstwa.