Co 8. firma MŚP podaje hakerom dane pracowników na tacy

pracodawcagodnyzaufania.pl 1 miesiąc temu

Połowa firm z sektora MŚP przekazuje dane osobowe swoich pracowników współpracującym z nimi biurom księgowo-rachunkowym.

I choć zdecydowana większość przedsiębiorców uważa, iż są one przez zewnętrzne firmy prawidłowo chronione, to jednocześnie sama ułatwia pracę hakerom. Aż 23 proc. ankietowanych przedsiębiorstw z tej grupy przyznaje, iż przekazuje wrażliwe dane zatrudnionych osób w sposób zupełnie niezabezpieczony – wynika z badania przeprowadzonego na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych.

95 proc. mikro, małych i średnich przedsiębiorców przetwarza dane osobowe pracowników, z czego 49 proc. przekazuje je do biur księgowo-rachunkowych. Przytłaczająca większość z tej grupy (88 proc.) uważa, iż są one przez podwykonawców prawidłowo zabezpieczone przed dostępem niepowołanych osób. Z drugiej jednak strony aż 45 proc. respondentów boi się, iż mogą one zostać skradzione.

Ignorowanie podstawowych zasad cyberbezpieczeństwa

Chociaż papierowa dokumentacja przechodzi do lamusa, to w tej formie biurom rachunkowo-księgowym czy agencjom HR przez cały czas dokumenty dostarcza aż 38 proc. ankietowanych. Znacznie częściej przedsiębiorstwa z sektora MŚP przekazują dane osobowe pracowników w formie elektronicznej. Niestety przez lekceważenie zasad cyberbezpieczeństwa ta wygodna forma komunikacji z zewnętrznymi kadrami naraża na niebezpieczeństwo część pracowników.

Zaledwie 31 proc. respondentów wysyła szyfrowane e-maile z załącznikiem chronionym hasłem dostępu do pliku. Najczęściej tego typu zabezpieczenie stosują średnie firmy (38 proc.), a rzadziej małe i mikro (po 31 proc.). Z kolei 22 proc. przedsiębiorców przesyła szyfrowane e-maile z załącznikiem, choć nie są one zabezpieczone hasłem. Natomiast 16 proc. ankietowanych przechowuje szyfrowane dokumenty w chmurze, które następnie udostępnia zewnętrznym partnerom.

Aż 14 proc. respondentów wysyła podwykonawcom nieszyfrowane e-maile z załącznikiem bez wymaganego hasła dostępu do pliku

Szyfrowana komunikacja e-mailowa na nic się zda, o ile załączane do niej pliki z danymi osobowymi pracowników nie będą dodatkowo chronione hasłem. Wystarczy, iż nadawca pomyli adres odbiorcy, by takie dane trafiły do niewłaściwej osoby i doszło do naruszenia ochrony danych.

Niestety wśród firm z sektora MŚP zdarzają się również przedsiębiorstwa, które całkowicie nieodpowiedzialnie podchodzą do ochrony danych osobowych pracowników. Aż 14 proc. respondentów wysyła podwykonawcom nieszyfrowane e-maile z załącznikiem bez wymaganego hasła dostępu do pliku.

9 proc. ankietowanych przechowuje nieszyfrowane dokumenty w chmurze, a następnie udziela do niej dostępu firmom zewnętrznym

– To największa bolączka małych firm (23 proc.) z branży handlowej (25 proc.) i transportowej (21 proc.), które są obecne na rynku powyżej 10 lat (32 proc.). Zdecydowanie częściej funkcjonują w formie spółek (19 proc.) niż jednoosobowych działalności gospodarczych (5 proc.). Niestety pomimo dużego biznesowego doświadczenia, bardzo lekceważąco podchodzą do ochrony danych osobowych pracowników i klientów, które w efekcie są wyjątkowo łatwym celem dla hakerów – ostrzega Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.

Równie lekkomyślne postępuje 9 proc. ankietowanych, którzy przechowują nieszyfrowane dokumenty w chmurze, a następnie udzielają do niej dostępu firmom zewnętrznym.

Średnie firmy mimo stosunkowo dużej skali działalności, a więc atrakcyjności dla cyberprzestępców, wyjątkowo lekceważą zagrożenie ze strony hakerów

– To domena średnich firm (19 proc.) z branży produkcyjnej (81 proc.) i budowlanej (22 proc.), które są obecne na rynku od 5 do 10 lat. To bardzo niepokojące, ponieważ te przedsiębiorstwa zatrudniają od 50 do 250 osób. Pomimo stosunkowo dużej skali działalności, a więc atrakcyjności dla cyberprzestępców, wyjątkowo lekceważą zagrożenie ze strony hakerów. Jedną z przyczyn może być błędne myślenie, iż przekazanie danych pracowników zewnętrznemu biuru rachunkowo-księgowemu lub agencji HR zwalnia ich z odpowiedzialności w razie wycieku czy kradzieży dokonanej przez cyberprzestępców. Tak nie jest – dodaje Bartłomiej Drozd.

To nie zamyka listy grzechów MŚP. 5 proc. z nich co prawda już nie wozi do biura rachunkowo-księgowego papierowych dokumentów pracowników, ale przekazuje je na pendrive lub zewnętrznym dysku. jeżeli ten zginie lub zostanie skradziony, dane pracowników stają się dostępne dla postronnych osób.

Pliki można zaszyfrować, co w razie zgubienia takiej przenośnej pamięci czy jej kradzieży uniemożliwi, lub przynajmniej utrudni zapoznanie się z danymi bez znajomości hasła

– Administratorzy danych, czyli pracodawcy, powinni przeprowadzić analizę ryzyka i zidentyfikować zagrożenia, o ile przekazują dane na nośnikach typu pendrive. Analiza powinna wykazać konieczność odpowiedniego zabezpieczenia takich urządzeń. Istnieją na rynku szyfrowane nośniki tego typu. Pliki można także zaszyfrować, co w przypadku zgubienia takiej przenośnej pamięci czy jej kradzieży uniemożliwi albo przynajmniej utrudni zapoznanie się z danymi bez znajomości hasła – mówi Mirosław Wróblewski, prezes UODO.

Warto wiedzieć, iż UODO nakładało już kary na administratorów, u których doszło do naruszenia ochrony danych z powodu utraty perndrive’a, na którym dane nie były w żaden sposób zabezpieczone. – Postępowania UODO najczęściej wykazywały brak odpowiedniej analizy ryzyka, która pomogłaby uzmysłowić sobie konieczność odpowiedniego zabezpieczenia takich nośników. Niekiedy analiza była pobieżna, co zaowocowało np. wdrożeniem niewystarczających procedur związanych z zabezpieczeniem danych na zewnętrznych nośnikach, czy brakiem nadzoru nad przestrzeganiem opracowanych reguł – dodaje Mirosław Wróblewski.

Hakerzy zacierają ręce

Nic dziwnego, ponieważ zgodnie z danymi Głównego Urzędu Statystycznego firmy z sektora MŚP zatrudniają 7,3 mln pracowników.

Dla cyberprzestępców oznacza to 7,3 mln potencjalnych ofiar ataków. A wykradziony łup może być bezcenny.
Idź do oryginalnego materiału