Przepisy RODO nakładają na przedsiębiorców gromadzących dane klientów obowiązek przeanalizowania ryzyk, jakie wiążą się z wyciekiem tych danych, i podjęcia działań zabezpieczających. Wydaje się to oczywiste, gdy patrzymy na duże firmy czy kancelarie prawne. Ale małe? W jakim celu? Co może się stać, kiedy obsługuję dosłownie kilku klientów?
Niestety wiele. Na nasze dane bez względu na to, jak je wyceniamy, czyhają nie tylko cyberprzestępcy, lecz również inne niebezpieczeństwa, w tym złośliwe oprogramowania, które mogą spowodować niekontrolowany wyciek danych lub ich zniszczenie. Nietrudno wyobrazić sobie, jakie konsekwencje może mieć dla nas takie zdarzenie. W tym kontekście ustawowy nakaz przeprowadzenia analizy ryzyka wydaje się bezsporny, chociaż w małych firmach marginalizowany. Być może dlatego, że analiza nie musi mieć formy dokumentu. Warto jednak pomyśleć, jak zabezpieczyć kancelarię przed utratą danych.
? W analizie ryzyka wychodzi się zawsze od określenia zagrożenia. Jeśli np. używamy laptopa, na którym mamy dane klientów, umowy i inne dokumenty, to zagrożeniem jest nie tylko jego kradzież, lecz również wyciek tych danych. Kolejnym etapem jest określenie prawdopodobieństwa wystąpienia tych zdarzeń, a więc uzmysłowienie sobie, czy używam tego laptopa tylko w biurze, czy też jeżdżę z nim do klientów, z czym wiąże się niebezpieczeństwo, że ktoś może nam go wyrwać z ręki. Wiedząc, jakie jest zagrożenie i jakie prawdopodobieństwo jego wystąpienia, określamy wartość tego zagrożenia ? na przykład poprzez uzmysłowienie sobie, jaką zapłacimy karę za ujawnienie treści umowy, która znajduje się na dysku laptopa. Dopiero wtedy myślimy o zabezpieczeniach ? wyjaśnia Przemysław Krejza, prezes Instytutu Informatyki Śledczej, dyrektor w firmie Mediarecovery zajmującej się bezpieczeństwem IT.
Analiza ryzyka powinna tak wyglądać w przypadku każdego zagrożenia, jakie wiąże się ze sposobami przechowywania dokumentów, i warunkować odpowiednie zabezpieczenia. Trudność zaś polega na tym, że ustawodawca nie wymienia ryzyk, lecz sami je określamy. Trzeba więc pamiętać, że dane mogą wyciec z różnych miejsc i w różny sposób ? ktoś może dostać się na nasz serwer, ktoś inny może nam się włamać do poczty lub do chmury, a jeszcze ktoś przejąć nasz smartfon. Może to zrobić osoba z zewnątrz lub nasz pracownik. Niektóre ryzyka, jak kradzież komputera, są oczywiste i już dawno skatalogowane, ale niektórych nie jesteśmy w stanie przewidzieć.
? Na przykład jeszcze trzy, cztery lata temu nikt nie brał pod uwagę, że ktoś włamie się do komputera i zaszyfruje zawarte w nim dane. Tymczasem dzieje się tak coraz częściej, a za odszyfrowanie danych przestępcy żądają od kilku do setek tysięcy złotych wyrażonych w bitcoinach ? mówi Przemysław Krejza.
Sytuacje kradzieży danych zdarzają się coraz częściej. Z raportu ?Barometr cyberbezpieczeństwa 2018? opracowanego przez KPMG wynika, że w ciągu 2017 r. 82% firm w Polsce odnotowało przynajmniej jeden cyberincydent, a liczba cyberataków wzrosła w sumie o 40%. Ataków tych dokonywały przede wszystkim zorganizowane grupy przestępcze (62%) i pojedynczy hakerzy (61%). Znamienne jest to, że na trzecim miejscu znaleźli się niezadowoleni lub podkupieni pracownicy i oni też (56%) obok cyberprzestępców (84%) stanowią najbardziej realne zagrożenie dla firm (sic!). Przemysław Krejza podkreśla, że największym zagrożeniem dla danych jest brak świadomości tego, co może się zdarzyć. ? Dopiero kiedy ktoś ukradnie nam dane, uświadamiamy sobie problem ? mówi.
We wdrażaniu systemu bezpieczeństwa danych bardzo istotnym elementem jest koszt zabezpieczenia poszczególnych ryzyk, który zasadniczo powinien być dużo niższy od kosztu ewentualnej utraty danych. Jeśli jest wysoki, to warto się zastanowić, czy zamiast mnożyć zabezpieczenia, nie przenieść ryzyka na kogoś innego ? skorzystać z outsourcingu cyberbezpieczeństwa lub ubezpieczyć się od utraty danych. Zdaniem naszego eksperta solidne zabezpieczenie firmy przed cyberatakami nie jest bardzo drogie ? wydamy na nie maksymalnie 10 tys. zł. Najtańszym zaś sposobem zabezpieczenia danych jest korzystanie z możliwości, jakie dają nam używane przez nas komputery i oprogramowanie ? w których np. funkcje szyfrowania, firewall oraz nadawania uprawnień są wbudowane.