Zastanawiałeś się kiedyś jakie istnieją największe zagrożenia RODO dla IT w Twojej firmie? Wydawać by się mogło, że najczęstszym problemem są ataki hakerskie. A już na pewno mocno rozgłaszanym i komentowanym przez media. Czy jednak tego typu wydarzenia zdarzają się ze szczególnym natężeniem i tylko one zagrażają Twoim danym?
Można uznać, że pośrednio tak. Z osobistego punktu widzenia stwierdzam, że zdecydowanie częściej zdarzają się inne wpadki. W IT i przy zabezpieczaniu danych, również osobowych pracuję już 15 lat. Dziś opowiem o sześciu problemach, które pojawiają się w firmach najczęściej.
Sprawdź, czego nauczysz się dzięki kursowi Grafany!
Udostępniamy darmowo ponad godzinny materiał z kursu. Przekonaj się, że jest idealny dla Ciebie!
Chcesz wziąć udział w kursie? Kliknij w link i obejrzyj co Cię czeka: https://asdevops.pl/demo-grafana/
Zagrożenia RODO – 6 punktów, o których musisz pamiętać.
Zgodnie z przepisami RODO, administrator danych musi dokonać absolutnej staranności przy zabezpieczeniu danych. A to oznacza nie tylko ochronę przed wyciekiem czy kradzieżą. Również musisz je chronić przed utratą.
Zdaję sobie sprawę, iż przepisy dokładnie nie precyzują jakich środków powinieneś użyć. Rolę tu odgrywa logika oraz dostosowanie procedur i narzędzi do specyfikacji i wielkości Twojej organizacji. Ustawa natomiast określa, iż Administrator Danych musi zagwarantować poufność, integralność, dostępność oraz odporność na ataki. I jednocześnie zapewniać możliwość szybkiego przywrócenia danych.
Oznacza to, że jeżeli stracisz część lub całkowicie dane osobowe, ewentualnie w niekontrolowany sposób zostaną one zmodyfikowane to automatycznie naruszasz przepisy. Jest to traktowane jako incydent, który powinieneś jak najszybciej zgłosić.
Ransomware – zaszyfrowanie danych
I tu pojawia się zagrożenie RODO, o którym już wielokrotnie pisałem na blogu. Mowa tu o popularnym ataku za pomocą wirusów zwanych ransomware. Te elektroniczne robaczki sprawiają, iż Twoje dane zostają zaszyfrowane. Odzyskasz do nich dostęp po wpisanu hasła, które otrzymasz od atakującego po opłaceniu okupu.
O ransomware poczytasz więcej w tych artykułach – LINK. Na początek polecam to miejsce:
Warto jednak w tym momencie przypomnieć, że również w kontekście RODO musisz zadbać o zabezpieczenie swoich danych przed wirusami. Jednocześnie, w razie gdyby już przytrafiła Ci się tego typu sytuacja to powinieneś mieć backup z którego w razie potrzeby odtworzysz dane.
Tylko pamiętaj. Ma to być działający backup. Przykładową politykę backupu opisywałem tu – https://blog.askomputer.pl/archiwizacja-danych/
Nie chodzi tylko o RODO, lecz także o dalszą działalność Twojego biznesu. Za przykład zawsze podaję pewną firmę, która zgłosiła się do nas gdy takie zdarzenie faktycznie im się przytrafiło. Ransomware zaszyfrował im dane. Backup miał być, ale okazało się, że ich dotychczasowy informatyk źle go skonfigurował. W rzeczywistości żadna kopia nie była wykonywana. Właściciel firmy opłacił okup właścicielom ransomware, ale i to nic nie dało. Stracili dane siedmiu lat działalności firmy. Wszystkie dane klientów, kontakty, historię transakcji i dane księgowe.
Chyba nie chcesz znaleźć się w podobnej sytuacji?
Tips dnia!!!
Niedawna aktualizacja Windows 10 przyniosła rozwiązanie do walki z ransomware. Plus, ale nie pozbawiony wad. Przede wszystkim, po włączeniu pojawiają się problemy z niektórymi sprawdzonymi aplikacjami. Nawet z Internet Explorerem.
Domyślnie, narzędzie do walki z ransomware jest wyłączone, więc jak boicie się, że Wasze dane zostaną zaszyfrowane to ta prosta instrukcja wyjaśnia jak włączyć nową funkcjonalność.
Zniszczenie danych
Podobnie jak z Ransomware tak samo musisz zadbać przed innymi dosyć popularnymi incydentami. Między innymi o usunięciu danych. Przeważnie przez pracowników. To czy takie sytuacje dzieją się pomyłkowo czy celowo to temat na inne rozważanie czy nawet dochodzenie.
Administrator musi zadbać, by dane posiadały odpowiednie poziomy zabezpieczeń chroniące przed dostępem dla osób niepowołanych. Ponadto, musisz mieć pewność, że osoby odchodzące z firmy nie będą miały do nich dostępu.
A jeżeli już się zdarzy, że ktoś faktycznie wyrzuci dane do kosza to podobnie jak w akapicie dotyczącym ransomware tak i tu przypominam byś zadbał o możliwość odzyskania danych po incydencie.
Oprogramowanie szpiegujące
Wchodzisz na mało znaną stronę. Klikasz coś bez zastanowienia. Komunikat, który wyskoczył twierdził, iż nie obejrzysz tego przezabawnego filmiku z kotkami jeżeli nie zainstalujesz wymienionej wtyczki. Klikasz i instalujesz.
Od tego momentu na Twoim komputerze znajduje się aplikacja, która wysyła w drugi koniec świata wszystkie znaki jakie wpisujesz na klawiaturze. Robi screeny. Do tego pozwala atakującym podglądać to co się dzieje na Twoim pulpicie, zgrywać dane oraz podglądać Cię przez kamerę, a przez mikrofon podsłuchiwać. Tak, zaklejanie kamer na laptopach to nie przejaw fanaberii przewrażliwionych informatyków.
Warto dodać, że taka aplikacja może zostać zainstalowana poprzez załącznik wysłany od obcej firmy z tytułem „faktura do zapłacenia” czy poprzez włożenie do komputera pendrive z podpisem „Bitcoiny”. Naprawdę warto na to uważać. Jeżeli nie dbacie o podstawowe metody bezpieczeństwa to w przypadku kradzieży danych, również osobowych, nic Was nie będzie tłumaczyło przed PUODO.
Zagrożenia RODO
Jak widzisz „zagrożenia RODO” nie jedno mają imię i często są to wydarzenia, które mogą wpłynąć nie tylko na złamanie przepisów dotyczących ochrony danych osobowych. Ale nie zatrzymujemy się i lecimy dalej. Teraz czeka nas kolejny ciekawy motyw niczym z serialu Mr. Robot.
Włamanie do sieci WIFI
Kolejnym, sporym ryzykiem jest źle zabezpieczona sieć WiFi. Bezprzewodowy internet to wygodne rozwiązanie. Nie musisz podłączać kabla, a masz dostęp do wszystkiego. Niestety, również jest to wygodne rozwiązanie dla hakerów.
Wystarczy zaparkować w samochód w pobliżu siedziby firmy. Odpalić komputer do łamania haseł WiFi, a po pewnym czasie atakujący otrzyma pełen dostęp do naszej sieci. Warto zadbać o to, by sieć
WiFi była odpowiednio zabezpieczona.
Do tego używanie nazwy firmy przy nazywaniu połączenia (tzw. SSID) również nie jest dobrym pomysłem. Zdaję sobie sprawę, że kreujecie brand i chcecie, by wszyscy wiedzieli do około o Waszej firmie. Mimo wszystko, względy bezpieczeństwa sugerują, by jednak trochę utrudnić zadanie hakerowi. Spraw, by nie wiedział bez wykonania rozeznania które WiFi jest rzeczywiście Twoje. Sugeruję wręcz ukrycie sieci przed ogółem.
Zabezpieczenia
Kolejnym częstym zjawiskiem są błędy i wycieki danych powstałe w wyniku ludzkiego błędu. Wystarczy, że informatyk nieodpowiednio zabezpieczy serwer. Choćby najbardziej podstawowy jakim jest FTP. Przykładowo, w wyniku swojej niewiedzy lub lenistwa ustawi klasyczne 777.
Co to oznacza? Nie mniej, nie więcej niż dostęp do wszystkiego dla wszystkich. Nawet jeżeli dane nie są podłączone do strony internetowej to gdy ktoś się uprze to w bardzo prosty sposób znajdzie tego typu dane. Upubliczni, a wtedy mamy już wyciek RODO pełną gębą.
Podobna sytuacja dotyczy wszelkiego rodzaju baz danych oraz serwerów do przechowywania danych. Wystarczy, że ktoś źle zabezpieczy serwer i tragedia gwarantowana.
Fizyczne ryzyka
Istnieje cała masa zagadnień związanych z fizyczną kradzieżą danych. Już pominę w tym momencie kwestię tego czy Pan za oknem to tylko zakamuflowany robotnik. W rzeczywistości może być to agent konkurencji, który próbuje wykraść dane Twoich klientów.
Można uznać, że już w formie żartów przytacza się aspekty RODO takie jak odwrócenie monitora od okna czy przywiązywanie komputera łańcuchem.
Historię łańcucha omawiałem w tym miejscu:
Mimo wszystko, warto jednak pamiętać, że takie sytuacje jak kradzież danych poprzez wyniesienie komputera czy serwera jest jak najbardziej możliwe.
Za przykład podam jedną z firm, którą pomagałam przystosować do przepisów RODO i ISO. Pan na recepcji otrzymał proste polecenie, by klucze do serwerowni wydawać tylko osobom, które są do tego uprawnione. Nowy obowiązek wziął sobie tak do serca, że nawet zaufanym i sprawdzonym informatykom sprawdzał dowody.
Niestety, gdy pół roku po audycie podjechałem do firmy to w ramach testów wysłałem jednego ze swoich świeżo zatrudnionych pracowników, by podszedł do recepcji i poprosił o klucz do serwerowni. Z przykrością stwierdzam, że klucz ten otrzymał. Obcy człowiek nie pokazując żadnego dowodu tożsamości i nie będąc nawet na autoryzowanej liście dostępu przejął klucz prostymi słowami twierdząc, że jest informatykiem.
O krok od katastrofy
Gdyby to był ktoś kto by chciał zaszkodzić tej firmie to nie byłoby dla niego żadnym problemem, by wejść do serwerowni i wyciągnąć to co chce. Oczywiście, o ile wie gdzie znajduje się serwerownia. Swoją droga, podpisywanie drzwi napisem „Serwerownia” to kolejny często popełniany błąd.
Niestety. Wdrożenia, przepisy i procedury bez kontroli, nadzoru i również audytu powodują, że o pewnych kwestiach bezpieczeństwa się zapomina.
Informatycy to teraz zawód na topie. Co oznacza, że Ci zmogą zmieniać miejsce pracy kiedy tylko chcą. Oczywiście, pana na recepcji nic to nie tłumaczy. Przyzwyczajony ciągłymi zmianami twarzy wśród obsługujących firmę specjalistów IT odpuścił sobie po jakimś czasie weryfikację, a skutki mogły byt ego opłakane.
Zagrożenia RODO – rozwiązanie
Jak w takim razie sprawdzić czy informatycy w firmie odpowiednio wykonują swoją robotę? Odpowiedzią na to jest audyt IT. Audyty można wykonywać na różnych poziomach. Może to być prosta analiza ryzyka pod RODO. A równie dobrze możemy przeprowadzić całościowe testy penetracyjne, które wykryją wszystkie istniejące w firmie luki.
Ponadto, warto pamiętać o technikach socjotechnicznych. Choćby z powyższego artykułu widzisz, że duża część potencjalnych incydentów RODO wiąże się z błędami ludzi. Zdradzę, że przedstawione sytuacje to tylko część z całego oceanu wpadek, pomyłek czy nawet niewiedzy i lenistwa.
Pamiętaj o audycie. Może to Cię uratować przed wieloma nieprzyjemnymi wydarzeniami. Oczywiście, jeżeli szukasz kogoś kto pomoże Ci z tym zadaniem to zachęcam do kontaktu ze mną.
Tyle na dzisiaj. Daj znać w komentarzu jakie jeszcze niejasności budzi w Tobie RODO, a wraz z moją ekipą postaram się na nie odpowiedzieć.
Wracam do pracy. Miłego dnia!
Arek
