Postępująca cyfryzacja, zarówno w przestrzeni gospodarczej, jak i prywatnej, sprawia, iż właściciele małych i średnich firm muszą uświadomić sobie, jak duże zagrożenia wiążą się z komunikacją elektroniczną i informatyzacją.
Ochrona danych osobowych lub innych danych istotnych dla funkcjonowania biznesu (np. informacji objętych tajemnicą przedsiębiorstwa, zawierających strategie marketingowe bądź plany rozwojowe) często w praktyce ogranicza się do oceny czynności, jakie przedsiębiorca powinien podjąć, aby stworzyć wewnętrzne procedury postępowania w razie zagrożenia. Ostatnie miesiące pokazały, iż celem cyberataków są nie tylko wielkie korporacje, ale też firmy z sektora małych i średnich przedsiębiorstw.
Małe firmy jako atrakcyjny cel cyberataków
Małe i średnie firmy stanowią łakomy kąsek dla osób trudniących się nielegalnym pozyskiwaniem danych. Dlaczego? Przede wszystkim ze względu na mylnie powielany pogląd, iż sektor ten nie przeznacza zbyt wielkich środków na wdrożenie procedur ochrony danych. Jednocześnie cyberprzestępcy mogą zakładać, iż obawy przed negatywnymi konsekwencjami utraty danych skłonią firmę do rozmów z przeprowadzającym atak i doprowadzą do zapłaty żądanej kwoty za przywrócenie dostępu do baz danych. Chociaż w wielu przypadkach rzeczywistość wygląda inaczej, to taka refleksja w chwili braku dostępu do własnych danych okazuje się niewielkim pocieszeniem
Realne zagrożenia dla małych firm – przykłady i konsekwencje
Przeprowadzone w ostatnich miesiącach ataki doprowadziły do ujawnienia w darknecie ogromnych ilości rekordów zawierających skradzione dane. Pokazały one przedsiębiorcom, iż zagrożenie w tym obszarze jest realne. Niezależnie od tego, czy utrata danych nastąpiła na skutek ataku ransomware, czy była efektem phishingu, istotne są jej konsekwencje – oraz wnioski, jakie wyciągnie z niej przedsiębiorca. Chociaż konsekwencje prawne w postaci roszczeń osób, których dane podlegają ujawnieniu oraz postępowania, które mogą toczyć się przed
Prezesem Urzędu Ochrony Danych Osobowych to te najczęściej nagłaśniane, nie można zapominać o utracie reputacji i mozolnie budowanego wizerunku firmy na rynku.
Z tych też względów warto zastanowić się nad tym, czy poświęciliśmy dostatecznie dużo czasu w zadbanie o ten aspekt naszej działalności biznesowej. I chociaż bliskie jest mi powiedzenie, iż to nie procedury zawodzą, tylko ludzie – adekwatna reakcja personelu musi wynikać z pewnych regulacji i zasad postępowania.
Kilka podstawowych kroków do poprawy cyberbezpieczeństwa w małej firmie
Za chwilę zastanowimy się nad tym, jak adekwatnie przeprowadzić etap wdrażania procedur bezpieczeństwa danych w firmie. Zanim jednak – zatrzymajmy się na moment nad tym, co możemy zrobić, aby zminimalizować ryzyko utraty danych w bardzo prosty sposób. Chociaż rzeczy, o których będziemy teraz wspominać, wydają się oczywiste, to w przeprowadzanych przez naszą Kancelarię audytach znajdują się one często na samym szczycie zaleceń, które z różnych względów nigdy nie były wewnątrz firm realizowane.
Hasła – słabe hasło, to silne ryzyko
Analizując dostępne metody ochrony danych osobowych, trzeba zacząć od ich należytego zabezpieczenia hasłem. Bezpieczeństwo online zależy w dużej mierze od siły stosowanych haseł.
Należy stosować hasła, które nie nawiązują do danych osobowych, nazw, ani nie są łącznikami skrótów imienia i nazwiska – hasło „adam1234” nie będzie dawało gwarancji bezpieczeństwa. Bezpieczne hasło powinno składać się z ciągu znaków, który będzie trudny do rozszyfrowania. Nie warto sugerować się prostotą zapamiętania – zarządzając swoimi hasłami adekwatnie, będziemy w stanie używać tych silnych, a jednocześnie nie będziemy mieć problemu z ich zapamiętywaniem. Tożsamość w sieci i bezpieczeństwo danych osobowych są znacznie cenniejsze niż czas poświęcony na wpisanie kilkunastu znaków w polu przeglądarki internetowej lub aplikacji na telefonie.
Jeśli opisana rada wydaje się prosta i oczywista, to zastanów się nad tym, czy uregulowałeś zasady zmiany hasła przez swoich pracowników oraz ich przekazywania przy off-boardingu.
Dwuskładnikowe uwierzytelnianie
Jeśli jest to możliwe, należy korzystać z autoryzacji dwuskładnikowej (2FA). Dwuskładnikowe uwierzytelnianie to metoda zabezpieczająca dostęp do kont lub aplikacji poprzez wymaganie dwóch różnych form uwierzytelnienia podczas logowania. zwykle obejmuje element znany użytkownikowi (np. hasło) oraz coś, co użytkownik posiada (np. kod generowany na urządzeniu mobilnym lub w formie wiadomości SMS). Taka forma logowania znacząco zwiększa bezpieczeństwo. Utrudnia tym samym potencjalnym atakującym przejęcie dostępu do aplikacji, konta lub profilu. Jest to jedna ze skuteczniejszych form zabezpieczenia kont i danych przed nieautoryzowanym dostępem. W praktyce to jedno z podstawowych i najczęstszych zaleceń pokontrolnych, które przekazujemy Klientom po przeprowadzeniu audytu.
Aktualizacje oprogramowania
Aktualizacje systemu wbrew pozorom nie mają jedynie zajmować dodatkowego miejsca na dysku komputera lub telefona. Ich celem jest przede wszystkim usuwanie luk i błędów w zabezpieczeniach. choćby jeżeli aktualizacja zawiera nową funkcjonalność, którą nie będziemy zainteresowani, warto zastanowić się nad jej zainstalowaniem w celu poprawy bezpieczeństwa danych. Dostawcy platform odpowiedzialni za przetwarzanie danych osobowych nie tylko dbają o wygląd wizualny aplikacji, ale przede wszystkim powinni monitorować zagrożenia i udoskonalać zabezpieczenia przechowywanych danych.
Czujność
Warto zwrócić uwagę zespołu na działania ze wzmożoną czujnością w przypadku wiadomości SMS oraz e-maili. Chodzi o wiadomości, które wymagają podania lub zmiany danych osobowych, czy też kliknięcia w załączony link. Wszelkiego rodzaju akcje phishigowe oparte są na próbie wzbudzenia zaufania i przekonania, iż klikając w link działamy z zachowaniem bezpieczeństwa.
Jeśli dotarła do Twojej firmy wiadomość z banku, która zawiera prośbę o zaktualizowanie danych, zastanów się, jak możesz sprawdzić jej wiarygodność. W praktyce odnotowujemy sytuacje, w których np. dział odpowiedzialny za rozliczenia lub wprowadzenie przelewów właśnie w taki sposób nierozważnie przyczynia się do utraty danych.
Kopie zapasowe
Istotne jest, aby regularnie tworzyć i zabezpieczać kopie zapasowe ważnych danych. Chociaż kopia zapasowa sama w sobie nie stanowi zabezpieczenia przed ich utratą, to w przypadku incydentu pozwoli firmie na dalsze korzystanie ze zgromadzonych danych. Proponowane podstawowe metody ochrony danych osobowych nie stanowią zamkniętej listy, która dawałaby gwarancję bezpieczeństwa w każdym przypadku. Z całą jednak pewnością stosowanie się do nich zdecydowanie zwiększy bezpieczeństwo użytkowników różnych sieci komunikacji elektronicznej. Pozytywnie wpłynie również na większy poziom cyberbezpieczeństwa firmy.
Właściwy proces wdrażania procedur bezpieczeństwa danych w firmie
Obszarem, w którym najczęściej wspomagamy Klientów naszej Kancelarii, jest kompleksowe wsparcie prawne w procesie wdrażania lub poprawy procedur bezpieczeństwa. Zanim jednak podejmiemy decyzję o sposobie zabezpieczenia danych, powinniśmy zastanowić się nad ich kategorią. Z punktu widzenia odpowiedzialności wobec osób trzecich inaczej oceniamy ryzyko utraty danych obejmujących np. bazę stałych dostawców usług, inaczej zaś dane wrażliwe, jakimi są np. dane medyczne. Każdorazowo odmienne będą też rekomendacje co do stosowanych zabezpieczeń w obu opisanych przypadkach. Dlatego w procesie adekwatnego wdrażania danych niezwykle istotny jest audyt aktualnego stanu procedur. Inaczej proces ten będzie wyglądał w firmie, która dysponuje już wewnętrznymi procedurami, a inaczej u przedsiębiorcy, który dotychczas nie regulował w swojej firmie tego obszaru. W pierwszym wypadku ostatnim elementem audytu będą tzw. crash testy, które w łatwy i stosunkowo szybki sposób ujawnią obszary, które wymagają poprawy.
Nie będzie szybko, ale będzie warto
Nie ma sensu tego ukrywać – dobrze przeprowadzony audyt jest często czasochłonny. Wymaga współpracy z wewnętrznym działem IT, działem prawnym lub firmami zewnętrznymi, które dostarczają usługi w tych obszarach. Diagnoza, którą stawia się w fazie kontroli, jest zalążkiem i początkiem rozpoczęcia prac nad stworzeniem adekwatnych procedur, czyli tzw. spisania ich na papierze. Wiedząc, jakiej kategorii dane przetwarza klient, jak wygląda obieg dokumentacji oraz obszary przyznawanych dostępów do poszczególnych kategorii danych, można przystąpić do tworzenia regulaminów i dokumentów wewnętrznych.
Już na tym etapie warto uświadomić sobie, iż ich celem nie będzie jedynie zajmowanie miejsca w szafie z segregatorami lub w chmurze z danymi firmy. najważniejsze jest, aby opracowane dokumenty były jasne i przejrzyste. Nie warto stawiać na ich obszerność, bo celem jest ochrona danych firmowych, a nie posługiwanie się nimi wyłącznie dla potrzeb kontroli. choćby najobszerniejsze procedury nie zagwarantują bezpieczeństwa danych w firmie, jeżeli nie zadbamy o adekwatny proces ich wdrażania.
Praktyka pokazuje, iż najczęstszym błędem powielanym przez naszych klientów przed zleceniem audytu było przygotowanie procedur, które trafiały do szafy z segregatorami. Najistotniejszy wydaje się z tego powodu etap szkolenia pracowników. To adekwatne ten etap ma zagwarantować adekwatną reakcję w przypadku zagrożenia. `Znamy przypadki klientów, u których szybka reakcja na przeprowadzony atak pozwoliła na zminimalizowanie jego skutków oraz zapewniła brak konsekwencji prawnych. Nie byłoby to możliwe z pominięciem skrupulatnie przeprowadzonego etapu szkoleń personelu.
A jeżeli już przeszedłeś przez te trzy wspomniane etapy, pamiętaj, iż nie możesz spocząć na laurach. Stan zagrożeń i stosowane metody ataków zmieniają się niemal z dnia na dzień. Dbaj więc o regularną aktualizację procedur i dostosowywanie ich do stanu zagrożeń.
Autor: Bartosz Grube
