Wyciek danych firmowych – czym grozi i jak się przed nim zabezpieczyć?

Autor Jakub Bandura
Firmy
Wyciek danych

Udostępnij

W ostatnim czasie obserwujemy wzmożoną ilość naruszeń ochrony danych. Ponadto, Ogólne rozporządzenie o ochronie danych (RODO) nałożyło na przedsiębiorców szereg nowych obowiązków, w tym także w obszarze informowania o sytuacjach, które pociągają za sobą nieprawidłowości w obszarze danych osobowych.

A jak doskonale wiadomo, dane osobowe należą do tak zwanych informacji wrażliwych. Ich ochrona jest szczególnie istotna, gdyż stanowią one dobra osobiste każdego człowieka. Z tego powodu ich ochrona powinna stanowić bardzo ważny element każdego dobrze zorganizowanego przedsiębiorstwa.

Co jednak, gdy dojdzie do takie wycieku? Jakie kary wtedy grożą firmie? Jak się chronić przed niefortunną sytuacją tego typu? Przekonamy się poniżej:

Czym jest wyciek danych w firmie? Wyciek danych

Wyciek danych z firmy najłatwiej można zdefiniować jako każde zdarzenie, którego bezpośrednim albo pośrednim skutkiem jest upowszechnienie poufnych informacji i danych osobom lub instytucjom, które w inny sposób takiego dostępu nie mogłyby uzyskać.

Zakres danych, które są podatne na atak i mogą zostać ujawnione w wyniku wycieku, jest niezwykle szeroki, ponieważ we współczesnych realiach biznesowo-rynkowych praktycznie każda informacja ma określoną wartość.

Najczęściej jednak wyciek danych w firmach dotyczy różnego rodzaju poufnych informacji, jak choćby dane osobowe klientów (w tym dane ich kart kredytowych, adresy e-mail czy informacje o stanie zdrowia), informacje o kontrahentach, raporty finansowe, zeznania podatkowe, strategie marketingowe lub biznesowe, plany rozwoju przedsiębiorstwa czy projekty i prototypy produktów.

Nie tylko ataki hakerów

Wyciek informacji może nastąpić zarówno w wyniku celowego, świadomego działania, jak i w sposób niezamierzony, co oznacza, że za naruszenie bezpieczeństwa danych mogą być odpowiedzialni zarówno hakerzy, jak i pracownicy danej firmy. Co ciekawe, ta druga sytuacja jest nawet znacznie częstsza, niż cyberataki – dzieje się tak bowiem w ponad połowie odnotowanych przypadków wycieku danych.

Co istotne, niejednokrotnie naruszenia bezpieczeństwa danych wynikają z niewiedzy lub braku należytej ostrożności, a także z niewystarczającego zabezpieczenia poufnych informacji przed potencjalnymi wyciekami i nieuprawnionym dostępem.

Przyczyny wewnętrzne

Zasadniczo można podzielić przyczyny naruszenia bezpieczeństwa danych w firmie na wewnętrzne i zewnętrzne. Do grupy wewnętrznych powodów wycieku danych zalicza się przede wszystkim:

  • Pomyłki pracowników
  • Niedbałe, niefrasobliwe wykonywanie obowiązków służbowych
  • Celowe działania na szkodę firmy podejmowane przez pracowników
  • Awarie systemów bezpieczeństwa
  • Nieprawidłowe użytkowanie systemów IT w firmie

Przyczyny zewnętrzne

Zewnętrzne zagrożenia dla bezpieczeństwa danych to głównie:

  • Celowe, umyślne cyberataki, przeprowadzane przez zawodowych hakerów
  • Odcięcie zasilania w firmie
  • Różnego rodzaju klęski żywiołowe.

Jakie kary grożą za wyciek danych w firmie? Napis "kara"

Naruszenie przepisów ogólnego rozporządzenia o ochronie danych (RODO) może skutkować odpowiedzialnością administracyjną. Przepisy RODO przewidują tutaj niezwykle surowe kary finansowe

Organ nadzorczy może nałożyć karę administracyjną w wysokości aż do 20 milionów euro lub w wysokości do 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Może ona zostać nałożona na administratora danych w przypadku naruszenia:

  • Podstawowych zasad przetwarzania, w tym warunków wyrażenia zgody
  • Praw osób, których dotyczą przetwarzane dane osobowe
  • Zasad przekazywania danych osobowych odbiorcy do państwa trzeciego lub organizacji międzynarodowej
  • Obowiązków wynikających z ustawy o ochronie danych osobowych
  • Nieprzestrzegania nakazu tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy.

Jakie czynniki bierze się pod uwagę przy ustalaniu kary?

Przy podejmowaniu decyzji o wymiarze kary organ powinien wziąć pod uwagę następujące czynniki:

  • Charakter czynu, jego wagę i czas trwania naruszenia, przy jednoczesnym uwzględnieniu sposobu przetwarzania danych (jego charakteru, zakresu, celu, liczby poszkodowanych oraz wymiaru poniesionych szkód)
  • Umyślny lub nieumyślny charakter naruszenia
  • Działania podjęte w celu zminimalizowania szkody
  • Stopień odpowiedzialności administratora danych lub podmiotu przetwarzającego dane z uwzględnieniem wdrożonych przez nich środków technicznych
  • Wcześniejszy sposób postępowania
  • Zachowanie po naruszeniu zasad ochrony, w tym stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego negatywnych skutków
  • Kategorie danych osobowych, których dotyczyło naruszenie przepisów RODO
  • Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu
  • Stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji
  • Wszelkie inne czynniki obciążające lub łagodzące (w tym osiągnięte korzyści finansowe lub uniknięte straty).

Kara jest nakładana w drodze decyzji administracyjnej wydawanej przez Prezesa Urzędu Ochrony Danych Osobowych (UODO). Zgodnie z obowiązującymi przepisami ukarany podmiot ma 14 dni na jej uiszczenie. Termin ten jest liczony od dnia upływu terminu na wniesienie skargi albo od uprawomocnienia orzeczenia sądu administracyjnego.

Utrata reputacji i zaufania wobec firmy

Ponadto, należy mieć świadomość, iż niezależnie od tego, jaka była konkretnie przyczyna wycieku informacji z firmy, każda tego rodzaju sytuacja oznacza dla organizacji, w której doszło do złamania bezpieczeństwa danych, szereg innych poważnych następstw.

Przede wszystkim, nawet niewielki wyciek danych najczęściej będzie oznaczać ogromne straty finansowe, wynikające z utraty reputacji, a tym samym także i zaufania klientów oraz partnerów biznesowych.

Odpowiedzialność karna

Utrata reputacji i zaufania klientów oraz dotkliwe kary finansowe to jednak nadal nie wszystko. Naruszenie przepisów RODO – w tym dopuszczenie do wycieku danych przez ich administratora – może skutkować również odpowiedzialnością karną.

Przepisy karne zostały zawarte w ustawie o ochronie danych osobowych i przewidują one – w zależności od rodzaju czynu – karę grzywny, karę ograniczenia wolności lub karę pozbawienia wolności nawet do lat trzech.

Co, gdy pracownik doprowadzi do wycieku danych? Kara pieniężna nakładana przez UOKiK za tworzenie zatoru płatniczego

Zgodnie z przepisami Kodeksu pracy pracownicy, którzy na skutek niewykonania lub nierzetelnego wykonania swoich obowiązków pracowniczych doprowadzili do naruszenia przepisów ogólnego rozporządzenia o ochronie danych (RODO), mogą odpowiadać za szkody spowodowane takim zachowaniem.

Mogą oni więc zostać zobowiązani do zapłaty odszkodowania ustalonego w kwocie do wysokości wyrządzonej szkody, jednak nie więcej niż trzykrotność wynagrodzenia, które pracownik otrzymuje. W przypadku wyrządzenia szkody umyślnie pracownik będzie zobowiązany do jej naprawienia i zwrotu w pełnej wysokości za powstałe naruszenie.

Ponadto, za naruszenie przepisów ogólnego rozporządzenia o ochronie danych pracownik może zostać dyscyplinarnie zwolniony.

Jednak, ze względu na monstrualną wysokość kar, szkoda powstała na skutek niedopełnienia obowiązków przez pracownika w związku z wyciekiem danych osobowych najbardziej dotkliwa i tak zdecydowanie jest dla pracodawcy.

Przykład wycieku danych w firmie w Polsce

Największa dotychczas kara za złamanie obowiązku RODO w Polsce otrzymał sklep internetowy Morele.net, z którego hakerzy wykradli pod koniec 2018 roku dane ponad 2,2 miliona klientów.. Kara wyniosła 2 830 410 złotych.

W ocenie prezesa UODO w firmie Morele.net zawiódł środek uwierzytelniania, a także niewystarczająco i nieskutecznie monitorowano potencjalne zagrożenia. Zdecydowanie błędem ze strony Morele.net było też nierzetelne przetwarzanie danych oraz zawiadomienie poszkodowanych klientów, że nie wyciekły dane osób, które nie brały sprzętu w formie ratalnej – co było błędem.

Tym samym poprzedzające wystąpienie naruszenia działania spółki zmierzające do zapewnienia bezpieczeństwa przetwarzania danych należało uznać za nieskuteczne, albowiem nie przyczyniły się one do wyeliminowania ryzyka zaistnienia szkód.

Jak zabezpieczyć firmę przed wyciekiem danych?

Małe i średnie przedsiębiorstwa często wychodzą z założenia, że kwestie cyberbezpieczeństwa dotyczą tylko największych, globalnych podmiotów lub konkretnych gałęzi gospodarki. Nic bardziej błędnego. Okazuje się, iż aż 82% polskich drobnych przedsiębiorców notuje co roku przynajmniej jeden atak hakerski, a co czwarta firma – nawet dziesięć.

Na szczęście dziś na rynku jest dostępne specjalistyczne oprogramowanie DLP, które w kompleksowy sposób wspomaga ochronę danych elektronicznych przed wyciekami lub kradzieżą. Zapobieganie utracie danych

Z reguły jednak tego rodzaju oprogramowanie jest dość kosztowne, dlatego na jego wdrożenie zwykle nie mogą sobie pozwolić firmy małe i przedsiębiorcy prowadzący jednoosobową działalność gospodarczą. Z drugiej strony koszty jego wdrożenia zwykle są zdecydowanie niższe niż ewentualne koszty związane ze stratami wizerunkowymi i nałożonymi na firmę karami, gdy dojdzie do wycieku.

Jakie działania warto podjąć?

Co istotne, oprogramowania DLP to nie jedyne sposoby na poprawę bezpieczeństwa danych w firmie. Działania, które mogą w znaczącym stopniu zmniejszyć ryzyko wycieku danych firmowych, to między innymi:

  • Regularna aktualizacja systemów operacyjnych i oprogramowania wykorzystywanego w firmie
  • Wymiana urządzeń, gdy ich oprogramowanie nie jest już wspierane przez producenta
  • Zablokowanie możliwości zapisywania na nośnikach zewnętrznych danych przechowywanych na firmowych komputerach
  • Klasyfikacja danych i przydzielanie poszczególnym pracownikom dostępu wyłącznie do tych informacji, z których faktycznie korzysta w czasie wykonywania obowiązków służbowych
  • Szyfrowanie istotnych plików oraz dokumentów przechowywanych na komputerach firmowych oraz w chmurze w taki sposób, by nie było możliwe odczytanie ich poza siecią informatyczną organizacji
  • Blokada możliwości wysyłania plików w formie załączników do poczty e-mail oraz do wiadomości przesyłanych za pomocą komunikatorów
  • Monitorowanie serwerów oraz komputerów pracowników
  • Regularne szkolenia pracowników firmy z polityki bezpieczeństwa firmy i z wdrożonych zabezpieczeń.

A może outsourcing? Ochrona danych

Interesującym i godnym rozważenia rozwiązaniem może być również outsourcing usług związanych z ochroną przed wyciekiem danych – szczególnie dla firm, których nie stać na wdrażanie drogich systemów klasy DLP.

Jakub Bandura
Jakub Bandura
Redaktor portalu PortfelPolaka.pl. Wiedzę z zakresu rynków finansowych i inwestowania zgłębiał na studiach ekonomicznych. Trader rynku OTC i Forex preferujący handel krótkoterminowy. Entuzjasta statystyki oraz analizy technicznej instrumentów finansowych.

Spis treści [hide]

Najnowsze

Zobacz również

Kilka słów o nas

Portfel Polaka, czyli o finansach na poważnie… i z przymrużeniem oka. Monitorujemy, komentujemy, prognozujemy i zajmujemy się tym wszystkim, co ma wpływ na Twoje finanse. Na to, ile zarabiasz, wydajesz i oszczędzasz. Nie zajmujemy się natomiast polityką, pogodą i plotkami, o ile nie ma to bezpośredniego przełożenia na grubość Twojego portfela. Do pieniędzy podchodzimy śmiertelnie poważnie. Mamy jednak świadomość, że również w tej dziedzinie potrzebny jest zdrowy dystans. Dlatego też, na niektóre sprawy patrzymy z przymrużeniem oka. Pokażemy Ci, gdzie jest kasa. Czy wciąż leży ona na ulicy? Czy może została wyrzucona w błoto?

© 2023 Portfel Polaka | Finvest Group