Zagrożenie wycieku danych – cz. 3: Pracownicy

Kategoria: 

To już trzecia odsłona cyklu o zagrożeniach, które mogą doprowadzić do poważnego problemu dla firmy, jakim jest wyciek danych. Tym razem pod lupę weźmiemy pracowników, których działania często osłabiają bezpieczeństwo IT – niezależnie od tego, czy są celowe, czy nieświadome. Monitorowanie zagrożeń wewnętrznych powinno należeć do podstawowych zadań osób odpowiedzialnych za ochronę danych osobowych oraz innych poufnych informacji, choćby ze względu na obowiązujące przepisy RODO. Wyciek danych należy do ryzyka, którego nie można ignorować – konieczne jest więc przeciwdziałanie szkodliwym praktykom wśród pracowników. Jak to robić?

 

 

 

Wyciek danych – czym jest i do czego prowadzi?

W jaki sposób pracownik może doprowadzić do wycieku danych z firmy?

Jak przeciwdziałać wyciekom danych przez pracowników?

Wyciek dany nie zawsze jest celowy

Jak zadbać o skuteczny monitoring komputerów, z których korzystają pracownicy?

Podsumowanie

 

 

 

Wyciek danych – czym jest i do czego prowadzi?

 

Wyciek danych nie zawsze oznacza kradzież, ale wiąże się z ujawnieniem poufnych informacji na temat przedsiębiorstwa, jego klientów lub innych aspektów związanych z jego funkcjonowaniem, które nie powinny ujrzeć światła dziennego – zarówno ze względu na konieczność zapewnienia ochrony danych osobowych, jak i potencjalne szkody wizerunkowe. W wyniku takiego działania może dojść do naruszenia:

 

  • poufności danych, czyli ujawnienia lub udostępnienia informacji osobie bądź osobom nieupoważnionym,
  • integralności danych, czyli nieautoryzowanej modyfikacji treści,
  • dostępności danych, czyli trwałej utraty dostępu do informacji lub ich zniszczenia.

 

Ryzyko wycieku danych wymaga od firmy odpowiedniego zabezpieczenia. Dlaczego? Brak kontroli nad informacjami może doprowadzić nawet do upadłości przedsiębiorstwa, ale po drodze mogą się pojawić problemy z płynnością finansową, zaufaniem klientów i kontrahentów, czy utrzymaniem przewagi konkurencyjnej.

 

W jaki sposób pracownik może doprowadzić do wycieku danych z firmy?

 

Świadomość, że wyciek danych stanowi poważne zagrożenie dla stabilności firmy nieco wzrosła w ostatnich latach – szczególnie w obliczu pandemii, która sprawiła, że w wielu organizacjach praca zdalna stała się standardem. Jednocześnie wciąż zakłada się, że problemem są wyrachowani cyberprzestępcy, tymczasem to Insider, czyli osoba działająca od wewnątrz, często stanowi dużo większe wyzwanie dla bezpieczeństwa danych. W jaki sposób pracownicy stanowią zagrożenie dla firmy?

 

  • Pracownik nie zawsze musi być częścią aktualnego zespołu – może być to osoba zwolniona z pracy, która chce się zemścić na pracodawcy, a np. cały czas dysponuje dostępami do zasobów organizacji.
  • Wyzwaniem jest też kontrola komputera pracownika, który pracuje zdalnie i korzysta ze sprzętu służbowego w celach prywatnych – shadow IT, czyli instalowania nieautoryzowanych programów, jest jednym z zagrożeń ułatwiających wyciek informacji.
  • Problemem są też pracownicy, którzy chcą osiągnąć indywidualne korzyści, bazując na możliwościach, jakie daje firma – takie osoby programowo naruszają zasady bezpieczeństwa, licząc np. na podreperowanie domowego budżetu.
  • Konkurencja nie śpi – może zaangażować niezadowolonego pracownika w przekazanie poufnych informacji w celu osiągnięcia przewagi konkurencyjnej. Wszelkie konflikty na linii pracownik-przełożony są potencjalnym zagrożeniem dla bezpieczeństwa danych.
  • Brak wiedzy stanowi kolejne źródło ryzyka – pracownicy nieświadomi, jakie zagrożenia wiążą się z nieumiejętnym korzystaniem z sieci, przypadkowo mogą doprowadzić do wycieku danych.

 

Jak przeciwdziałać wyciekom danych przez pracowników?

 

Skoro wyciek danych osobowych z firmy może się przytrafić niemal każdej organizacji (każdy znajdzie w swoim zespole choć jedną osobę pasującą do opisanych wcześniej przypadków), to konieczne jest odpowiednie zabezpieczenie się przed tego typu zagrożeniem. Co mogą zrobić pracodawca i osoby odpowiedzialne za bezpieczeństwo IT?

 

  • Monitoring komputera – kontrolowanie pracowników, szczególnie tych zdalnych, pozwala odpowiednio szybko zareagować, jeśli dojdzie do próby naruszenia bezpieczeństwa informacji. Oczywiście nie chodzi o to, by śledzić każdy ruch zespołu, a wdrożyć program do monitorowania komputera, który usprawni zarządzanie dostępem i tożsamością.
  • Monitoring serwera w firmie, który daje dostęp m.in. do alertów w czasie rzeczywistym i pozwala analizować istotne dane z punktu widzenia bezpieczeństwa IT.
  • Edukacja – konieczne są wewnętrzne szkolenia w zakresie potencjalnego ryzyka wycieku danych oraz praktyk, które to ryzyko pozwolą zminimalizować. Pracownicy muszą rozumieć, dlaczego w firmie obowiązują pewne zasady dotyczące bezpieczeństwa oraz mieć świadomość, że ich działania mogą mieć bezpośrednie przełożenie na sytuację przedsiębiorstwa.
  • Ustalenie zasad dotyczących bezpiecznych praktyk wśród użytkowników w formie regulaminu – pracownicy powinni mieć punkt odniesienia, ramy, w których mogą się poruszać, aby rzeczywiście móc chronić dane firmy. Brak takiego regulaminu jest cichym przyzwoleniem na lekceważenie bezpieczeństwa IT.
  • Wdrożenie modelu Zero Trust, który zakłada, że każdy użytkownik stanowi potencjalne zagrożenie – dzięki temu dużo trudniej przeoczyć sygnały świadczące o podwyższonym ryzyku wycieku danych z firmy.

 

Wyciek dany nie zawsze jest celowy

 

Choć polecamy kontrolę komputera pracownika, to chcemy podkreślić, że nie zawsze wyciek danych jest efektem celowych działań Insidera. Konieczne jest więc podjęcie adekwatnych środków bezpieczeństwa – bez edukacji trudno będzie osiągnąć wysoki standard ochrony danych w firmie. Organizacje powinny szkolić nie tylko liderów IT, ale także specjalistów i specjalistki, którzy nieświadomie i niechcący mogą doprowadzić do kradzieży ważnego hasła, czy wycieku danych osobowych klientów.

 

Jak zadbać o skuteczny monitoring komputerów, z których korzystają pracownicy?

 

Jak już wspomnieliśmy, istotnym elementem przeciwdziałania wyciekom danych jest monitoring serwera i komputera, ale nie każde oprogramowanie sprawdzi się w tej roli. Dobry system DLP nie będzie darmowy, ale za jakość zabezpieczeń warto zapłacić. Oprogramowanie Ekran System posiada więcej funkcjonalności niż bezpłatne programy tego typu, zapewniając wyższy poziom bezpieczeństwa. Z jego pomocą kontrola komputera pracownika jest dużo prostsza – szczególnie jeśli zespół wie, dlaczego firma wdraża takie rozwiązanie. Ekran System zabezpiecza korzystanie z takich narzędzi jak pulpit zdalny, pozwala efektywnie zarządzać dostępem i tożsamością, a także generuje wartościowe raporty, które pomogą wprowadzić zmiany w organizacji.

 

Podsumowanie

 

Wyciek danych jest realnym zagrożeniem dla niemal każdej firmy, dlatego konieczne jest przeciwdziałanie szkodliwym praktykom wśród pracowników. Do kwestii bezpieczeństwa należy podejść kompleksowo – wdrożenie wyłącznie monitoringu komputera nie rozwiąże problemu, ale wspólne ustalenie zasad, jasne określenie ram, w jakich mogą funkcjonować pracownicy i edukacja pozwolą ograniczyć ryzyko wycieku informacji. Zasada Zero Trust pozwoli natomiast uchronić się przed szkodliwym przekonaniem, że lojalny zespół nie stanowi zagrożenia dla danych – bardzo często popełnia się błędy w sposób nieświadomy i przypadkowy, a te mogą doprowadzić do wycieku danych. Wsparciem dla tych działań jest Ekran System.