Wszyscy mamy świadomość zagrożeń związanych z cyberbezpieczeństwem. Co i raz jesteśmy bombardowaniami informacjami o kolejnym ataku ransomware czy wycieku danych. Niestety, często taki wyciek to nie wynik geniuszu hakera tylko nieświadomości czy niedbałości ofiary. Szczególnie dużo takich zaniedbań widać w sektorze MŚP, gdzie co ósma firma wyprowadza dane na zewnątrz. Dane trafiają np. do biura księgowo-rachunkowego, ale nie są zabezpieczone. To niestety sprawia, iż sektor MŚP to raj dla hakerów.
Skalę zagrożeń pokazują wyniki badania przeprowadzonego na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych. W tym badaniu, niemal połowa – 49% – mikro, małych i średnich firm przekazuje swoje dane do biur księgowo-rachunkowych. Niektóre korzystają też z usług wyspecjalizowanych agencji HR.
Dane idą do firm zewnętrznych – niestety czasem w ogóle nie chronione
Niestety, niemal jedna czwarta z tych firm w ogóle nie stosuje zabezpieczeń przy przekazywaniu tych danych na zewnątrz. Np. dane są przesyłane nieszyfrowanymi e-mailami z załącznikami nieopatrzonymi hasłem. To oznacza, iż dane co ósmej firmy z sektora są niezabezpieczone. A to sektor, w którym pracuje 7,3 mln osób, a więc z grubsza – co piąty Polak!
Jaka jest lista przewin? Tylko 31% firm wysyła szyfrowane e-maile z załącznikami chronionymi hasłem. Ok. 22% nie chroni załączników hasłem, co – jak przypomina UODO – może spowodować wyciek danych, jeżeli przypadkiem podeślemy e-mail innej osobie. To może się dość łatwo wydarzyć, zwłaszcza jeżeli zleceniobiorca ma e-mail na jednym z popularnych serwisów: Gmail, Poczta WP czy Onet Poczta.
Problemy z komunikacją e-mailową dotyczą głównie małych firm, ale i średnie mają trochę za uszami. Te średnie dość często przechowują dokumenty w chmurze, ale aż 19% z nich przechowuje w taki sposób dokumenty nieszyfrowane, które następnie udostępnia firmom zewnętrznym.
„To bardzo niepokojące, ponieważ te przedsiębiorstwa zatrudniają od 50 do 250 osób. Pomimo stosunkowo dużej skali działalności, a więc atrakcyjności dla cyberprzestępców, wyjątkowo lekceważą zagrożenie ze strony hakerów”. Tak komentuje sytuację cytowany w komunikacie UOKiK Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.
Dane od MŚP – raj dla hakerów i zwykłych oszustów
A jakie dane mogą wyciec z firm? MŚP najczęściej przetwarzają imię i nazwisko zatrudnianych pracowników (86%), numer telefonu (80%), adres zamieszkania i numer PESEL (po 75%). W dalszej kolejności adres e-mail (70%), numer rachunku bankowego (68%) i dowodu osobistego (62%), oraz dane zdrowotne o absencjach czy przebytych chorobach (43%).
„W rezultacie, z powodu słabego poziomu zabezpieczeń w wielu MŚP, hakerzy w bardzo prosty sposób mogą wykraść komplet danych osobowych potrzebnych do popełnienia przestępstwa” – pisze UODO.
Czasem mogą wyciec dane jeszcze bardziej wrażliwe – na przykład pod koniec zeszłego roku wyciekły wyniki badań diagnostycznych pacjentów z firmy ALAB.
Pamiętajmy tylko, iż papier nie jest odpowiedzią. Papier może się zgubić, zawieruszyć, zostać ukradziony. Może też po prostu zostać wyrzucony na śmietnik, np. przez nieświadomą przepisów RODO panią sprzątającą biuro finansowo-księgowe. A, wierzcie mi, są tacy, którzy z zainteresowaniem przeglądają śmietniki. Niekoniecznie w poszukiwaniu aluminiowych puszek.
Źródło grafiki: Sztuczna inteligencja, model Dall-E 3