Błędy pracowników, a często również ich celowe działania mogą doprowadzić do poważnych konsekwencji dla firmy. Wyciek danych to realne zagrożenie zarówno dla wielkich koncernów, jak i małych instytucji. Warto się przed nim zabezpieczyć.
Wyciek danych w firmie? Błąd pracownika lub złośliwe działania hakerów
Ataki internetowych przestępców czy działanie złośliwego oprogramowania to zazwyczaj najbardziej spektakularne i głośne przypadki kradzieży firmowych zasobów. W większości przypadków poszkodowana jest nie tylko sama organizacja, na którą przeprowadzono atak, lecz także niezliczona liczba osób czy podmiotów, których utracone dane dotyczyły.
Coraz większym problemem są jednak zagrożenia wewnętrzne i wycieki danych w wyniku nierozważnego lub celowego działania pracowników. Według raportu Instytutu Ponemon liczba takich incydentów podwoiła się w ciągu ostatnich dwóch lat. Ponad połowa z nich była spowodowana nieodpowiedzialnym zachowaniem zatrudnionych osób, a 26 proc. przypadków utraty danych miało charakter zamierzonego i celowego postępowania pracowników.
Co ważne, aż 80 proc. firm traci dane w wyniku błędów pracowników lub złośliwych działań – dane Safetica. Firmy często w ogóle nie wiedzą o tym fakcie albo dowiadują się po fakcie, gdy w zasadzie nic nie mogą już zrobić. Problem dotyczy zarówno firm małych, jak i dużych korporacji. Utracenie danych to konsekwencje wizerunkowe i finansowe, a także kary ze strony GIODO, odszkodowania, utracone zlecenia. To może skutkować nawet koniecznością zamknięcia biznesu.
Wyciek danych – jak pracownik staje się najsłabszym ogniwem
Wyciek danych z firmy, niezależnie czy poprzez atak hakerski, czy z winy pracownika, to zawsze poważny problem. Wiele przypadków wskazuje na to, że pracownicy, popełniają te błędy nieświadomie. Często wynika to z niewiedzy, łatwowierności osób zatrudnionych lub złych procedur wdrażanych w organizacjach. Efektem jest wysłanie plików z danymi na błędny adres e-mailowy czy zgubienie urządzenia, na którym się znajdują. To spore wyzwanie dla firm, szczególnie w dobie pracy zdalnej i częstego przemieszczania się osób zatrudnionych między pracą a domem.
Niestety coraz częściej nie musi dojść do ataku cyberprzestępców, pospolitej kradzieży czy niefrasobliwości pracownika, aby firma straciła dane. Poważnym zagrożeniem są także pracownicy, którzy bezprawnie „przechowują informacje” firmy, zabezpieczając się tym samym np. przed utratą pracy czy zapewniając sobie kapitał na przyszłość. To oczywiście zachowanie nieetyczne, sprzeczne z regulaminami firm, ale trudno też z nim walczyć. Obecna sytuacja na rynku pracy dodatkowo może zmotywować pracowników do takich działań.
Niestety nadal niewielu zarządzających firmami zdaje sobie sprawę, że dane firmy mogą stanowić ważną kartę przetargową przy zatrudnianiu pracownika. Kandydat, który przynosi do nowego pracodawcy np. bazę handlową firmy, dane o wynagrodzeniach, informacje projektowe albo dane klientów, jest niezwykle cenny. W czasach rynku pracownika może to być spory problem dla firm. Niezabezpieczone dane organizacji mogą być zabierane przez pracowników chcących zmienić pracę. Wysoka inflacja może spowodować, że ludzie będą chcieli zmienić pracę na lepiej płatną, a walorem dodatkowym będą informacje, z jakimi pojawią się u nowego pracodawcy.
Jak chronić się przed utratą danych od wewnątrz firmy?
Czy firma jest całkowicie bezbronna przed tego typu zachowaniem swoich pracowników? Zdecydowanie nie. Wdrożenie odpowiednich zasad, procedur, ale także rozwiązań technologicznych może zminimalizować to ryzyko, zapewniając odpowiedni poziom ochrony. Bez względu na to, jakie dane przetwarza organizacja, istnieje kilka uniwersalnych sposobów zapobiegania utracie wrażliwych informacji. Niewątpliwie pierwszym z nich powinno być wykonanie audytu i zlokalizowanie wszystkich swoich wrażliwych danych. Firma musi wiedzieć, z jakimi danymi działa, gdzie są przechowywane i kto ma do nich dostęp. Bez tej podstawy nie da się wprowadzić żadnych środków zaradczych.
Regulacje i odpowiednie procedury
Równie ważne jest wprowadzenie odpowiednich zasad bezpieczeństwa i postępowania z danymi czy edukowanie pracowników. To może jednak nie wystarczyć. Stąd kluczowe będzie jednak szyfrowanie najważniejszych danych. Dzięki temu nawet jeśli sprzęt zostanie zgubiony lub ukradziony, dane pozostaną bezpieczne.
Monitoring działań pracowników może ochronić firmę
Niestety w dzisiejszych czasach warto będzie też monitorować nowych i odchodzących pracowników. Nie chodzi tutaj o swoistą inwigilację, ale wprowadzenie takich procedur, które uniemożliwią lub skutecznie ograniczą wynoszenie danych poza firmę. Należy stworzyć bezpieczny proces opuszczania firmy, aby mieć pewność, że odchodzący pracownicy nie zabiorą ze sobą żadnych danych. Jeśli podejrzewamy możliwość naruszeń, warto kontrolować, do jakich danych mają dostęp i czy jest im potrzebny. Nie warto też korzystać z wiedzy pracowników wyniesionej z poprzedniej firmy. Skoro ktoś zachował się nieetycznie wobec innego pracodawcy, czy będzie lojalny wobec nas?
Wyciek danych z firmy – kluczowe są także zabezpieczenia techniczne
Należy dopuszczać do sieci firmowej tylko autoryzowane urządzenia. Warto mieć kontrolę nad tym, jakie nośniki danych są podpinane do firmowego sprzętu. W połączeniu z odpowiednią klasyfikacją plików utrudni to kopiowanie wrażliwych danych poza organizację. Bezwzględnie należy blokować przesyłanie danych firmowych w sieciach społecznościowych, a także ograniczyć wysyłanie danych na nieznane zewnętrzne adresy e-mail i – co ważne – powiadamiać pracowników o potencjalnym naruszeniu.
Wyciek danych – skuteczna ochrona jest możliwa
Procedury, baczne przyglądanie się pracownikom czy wdrożenie odpowiednich zabezpieczeń to nie wszystko. Takie kroki zdecydowanie podniosą poziom bezpieczeństwa danych w organizacji, jednak będzie to utrudnione bez odpowiedniego oprogramowania, np. rozwiązań DLP, które działają w tle całego środowiska, chroniąc je przed wyciekiem danych. Przykładem takiego rozwiązania jest Safetica, która pozwala monitorować i kontrolować, kto i na jakich plikach pracuje oraz co się z nimi dzieje.
Poza tym Safetica edukuje. W przypadku kiedy pracownik chce wykonać ryzykowną dla firmy operację na plikach, np. skopiować je na pendrive albo wysłać e-mailem – otrzymuje odpowiedni komunikat, który powiadamia go o incydencie bezpieczeństwa. Pracownik w takiej sytuacji ma prawo anulować takie działanie lub je zatwierdzić. Decyzja o wykonaniu operacji należy do niego, jednak ślad po tym działaniu od razu zostaje w systemie, umożliwiając weryfikację czynności wykonanych przez pracownika. Firma dzięki temu jest chroniona przed wyciekiem danych od wewnątrz, ponieważ Safetica zabezpiecza większość możliwych kanałów dystrybucji danych, takich jak: USB, chmura, WWW, e-mail. Co ciekawe, Safetica dostępna jest również jako rozwiązanie w chmurze – Safetica NXT, dzięki czemu firma nie musi inwestować pieniędzy w drogą infrastrukturę IT. Każda operacja na plikach jest rejestrowana, oceniana i przechowywana przy użyciu bezpiecznej platformy Microsoft Azure, a proces wdrożenia rozwiązania trwa zaledwie kilka godzin.
Więcej o rozwiązaniach DLP oraz Safetica można dowiedzieć się podczas najbliższego, bezpłatnego webinaru, który odbędzie się 12 grudnia, o godz. 10 – zapisy dostępne tutaj