150 tys. zł rocznie strat z powodu… wycieków

Europejski Dzień Ochrony Danych Osobowych ma na celu zwrócić uwagę firm, instytucji i klientów na ryzyka związane z udostępnianiem i archiwizowaniem danych. Ustanowiono go, ponieważ mimo rygorystycznego prawa i jasno sformułowanych wymagań ciągle zdarzają się przypadki wycieku ważnych informacji. Przykładem może być kradzież informacji dotyczących kart płatniczych i szczegółów logowania klientów Sony w 2011 r.. Koncern został właśnie ukarany przez Brytyjskie Biuro Informacji Publicznej (ICO) grzywną 250 tys. funtów, czyli ok. 1,200 mln zł. za brak odpowiednich zabezpieczeń. Ze statystyk GIODO wynika, że w 2012 roku wpłynęło 1306 skarg na nieprawidłowe administrowanie danymi osobowymi. Zgodnie z prawem, udostępnianie lub umożliwianie dostępu do tego typu zbiorów osobom nieupoważnionym podlega grzywnie, a nawet karze ograniczenia lub wolności.
W dzisiejszym świecie, w którym informacja jest najcenniejszym towarem ochrona wrażliwych danych musi być szczególnie respektowana
W dzisiejszym świecie, w którym informacja jest najcenniejszym towarem ochrona wrażliwych danych musi być szczególnie respektowana
W dzisiejszym świecie, w którym informacja jest najcenniejszym towarem ochrona wrażliwych danych musi być szczególnie respektowana

W dzisiejszym świecie, w którym informacja jest najcenniejszym towarem ochrona wrażliwych danych musi być szczególnie respektowana

Konsekwencje takich sytuacji mają nie tylko charakter prawny, ale i finansowy. Koszty zniknięcia kluczowych informacji z samej tylko poczty elektronicznej i systemów pracy grupowej rosną z każdym rokiem. Jedno na cztery przebadane w 2012 r. przez firmę Kroll Ontrack przedsiębiorstwa z całego świata szacuje, że jego wydatki z tego tytułu wyniosły w 2011 r. co najmniej 50 tys. dol. (ok. 150 tys. zł), a 3 proc. – ponad 1 mln dol.(ok. 3 mln zł). Koszt utraty danych tylko ze środowisk Microsoft Exchange Server i Office SharePoint Server 25 proc. przebadanych firm szacuje na więcej niż 50 tys. dolarów. Według informatyków czas potrzebny na odzyskanie danych to najczęściej połowa dnia pracy, ale może to być nawet kilkanaście dni. W skrajnych przypadkach nie udaje się to nigdy.

Ochrona danych na kilku frontach

Można wskazać trzy obszary, w których firmy są szczególnie narażone na utratę danych: ruch sieciowy, zarówno wewnętrzny, jak i zewnętrzny, obieg dokumentów papierowych oraz wycofywanie z użycia nośników pamięci. Ochronę przed wyciekami informacji w ruchu sieciowym stanowią tzw. systemy DLP (ang. data leak protection – ochrona przed wyciekiem danych). Wykrywają one ruch danych wrażliwych w firmowej sieci, w razie potrzeby blokują ich zapis na nośniki zewnętrzne i stosują ich szyfrowanie w taki sposób, żeby były niemożliwe do odczytania poza organizacją. Przykładem jednego z nich jest stworzona przez Fuji Xerox metoda szyfrowania obrazów, plików wideo i tekstów ściąganych na mobilne urządzania. Pozwala ona na ich ochronę w przypadku, gdy sprzęt zostanie skradziony. Oprogramowanie Mobile Confidential Viewing umożliwia zakup e-biletu, który szyfruje i odszyfrowuje dane. W przypadku kradzieży sprzętu, jego właściciel może anulować e-bilet umożliwiający odczytanie danych i tym samym spowodować, że złodziej nie będzie mógł zdobyć informacji znajdujących się na urządzeniu. Dodatkowym zabezpieczeniem jest konieczność aktualizowania biletu, który wygasa po określonym czasie.

Inne rozwiązania chronią przedsiębiorstwo przed wyciekiem informacji w “tradycyjny” sposób – przez wejście w posiadanie dokumentów papierowych pracowników, którzy nie powinni mieć z nimi styczności.

Procedura zabezpieczania procesu produkcji poufnych dokumentów powinna obejmować zarówno stronę techniczną, np. szyfrowanie transmisji pomiędzy serwerem wydruku a urządzeniem, jak i organizacyjną, czyli ograniczenie sieciowego dostępu do urządzenia. Kolejnym narzędziem ochrony danych jest wydruk poufny, który pozwala na odebranie dokumentu tylko i wyłącznie przez osobę do tego upoważnioną. Uprawniony użytkownik korzysta z karty identyfikacyjnej, bez której nie ma możliwości wyprodukowania danych materiałów. W ten sposób poufne dokumenty ani przez chwilę nie znajdują się w miejscu powszechnie dostępnym i nie są narażone na przejęcie przez osoby do tego nieupoważnione.

Narzędziem ochrony drukowanych dokumentów przed nieautoryzowaną ingerencją w treść jest m.in. oznaczanie wyprodukowanych materiałów takimi elementami jak Glossmark – niemożliwy do podrobienia halogen – zabezpieczenie widoczne w świetle ultrafioletowym i podczerwieni czy wykorzystanie funkcji micro druku utrudniającego kopiowanie dokumentu — mówi Maciej Nuckowski, Dyrektor Działu Usług, Xerox Polska.

Dodatkowym zabezpieczeniem dokumentów papierowych może okazać się wynalazek naukowców z kanadyjskiego oddziału Xerox, którzy opracowali specjalny tusz do drukarek znikający po 16-24 godzinach z papieru pod wpływem światła słonecznego. Okazuje się zatem, że rozwiązania rodem z filmów szpiegowskich mogą przysłużyć się też w pracy codziennej firm.

Ponadto należy pamiętać by prawidłowo wycofywać z eksploatacji zużyte nośniki pamięci. Samo skasowanie danych bądź sformatowanie dysku nie powoduje zniknięcia z nich informacji – dla specjalistów odczytanie z pozoru “nieistniejących” danych nie stanowi większego problemu. Dlatego aby je trwale usunąć możemy posłużyć się jedną z dwóch metod: programową lub fizyczną. W tej pierwszej stosowane są specjalistyczne programy, które nadpisując wielokrotnie nowe informacje na stare uniemożliwiają ich pierwotne odczytanie. Metody fizyczne są zdecydowane mniej finezyjne i proponują różnorakie rozwiązania: od poddania dysku twardego procesowi demagnetyzacji, przez jego spalenie, wiórkowanie, poddanie promieniowaniu jonizującemu, aż po polewanie specjalnymi substancjami chemicznymi. Wszystkie te metody powodują fizyczną destrukcję nośników pamięci.

Podstawowe zasady

Najważniejszym filarem ochrony danych jest sam człowiek. Eksperci podkreślają wagę tzw. czynnika ludzkiego – doboru właściwych pracowników do odpowiedzialnych zadań.

Istotną rolę odgrywają tzw. background checks, czyli procedury weryfikacji osób zaangażowanych w projekty IT, m.in. pod kątem prawnym. Selekcji wykwalifikowanych pracowników służy już sam proces rekrutacji. W jego ramach starannie dobierani są kandydaci, którzy gwarantują nie tylko wysoki poziom wiedzy w zakresie technologii informatycznych i umiejętności pracy nad złożonymi systemami IT, ale także odpowiednie predyspozycje charakterologiczne. To osoby dojrzałe, zdolne do szybkiego odnalezienia się w nowej organizacji — mówi Wojciech Mach, Dyrektor Zarządzający Luxoft Poland.

Co więcej, według Macieja Nuckowskiego z Xerox Polska, w 80 proc. przypadków firmy tracą dane na skutek ludzkiego błędu lub celowego działania. Opinię tę potwierdzają badania firmy Kroll Ontrack, z 2011 r. wedle których nawet jedna piąta pracowników przesyła pocztą elektroniczną informacje będące tajemnicami służbowymi do osób trzecich i swoich znajomych, a co czwarty z nich kopiuje firmowe dane na swoje prywatne konta, licząc na to, że uda się je wykorzystać później. Najczęściej są to plany biznesowe, bazy danych osobowych klientów czy informacje objęte klauzulami poufności.

Również klienci nie stosują dobrych praktyk w zakresie ochrony danych, które wymieniają z przedsiębiorstwem. Niestety często sami narażają się na ich kradzież np. udostępniając je przez Internet nieznanym podmiotom. Nie doceniają za to starań przedsiębiorców o właściwe zarządzanie wrażliwymi danymi. Dla przykładu w sektorze call centers klienci często uznają rejestrowanie rozmów, które ma na celu m.in. uwierzytelnienie i właściwe wprowadzenie do systemu ich danych, za naruszenie prywatności, porównując procedurę nagrywania do monitoringu przestrzeni publicznej.

Porównanie rejestracji rozmów w contact center do systemu kamer publicznych działa na wyobraźnię, ale nie jest trafne. Często nie jesteśmy świadomi obecności kamer w naszym otoczeniu. W przypadku contact center zarówno konsultant, jak i konsument są za każdym razem informowani o nagrywaniu. To dużo jaśniejsza sytuacja, sprzyjająca każdej ze stron — przekonuje Krzysztof Chyliński, Dyrektor Technologii i Członek Zarządu Holicon, firmy oferującej m.in. prowadzenie infolinii na zasadzie outsourcingu.

W dzisiejszym świecie, w którym informacja jest najcenniejszym towarem ochrona wrażliwych danych musi być szczególnie respektowana. Prawidłowe zarządzanie nimi może stać się przewagą konkurencyjną i dodatkowym powodem dla klientów do skorzystania z usług lub produktów danej firmy.