UODO: „Firmy podają hakerom dane na tacy”. Ważne badania

Badanie przeprowadzone pod patronatem Urzędu Ochrony Danych Osobowych wykazało, że połowa MŚP korzysta z usług biur księgowo-rachunkowych. 88 proc. wspomnianych firm uważa, że dane przekazywane podwykonawcom są prawidłowo zabezpieczone przed nieuprawnionym dostępem.

Urząd podsumował ankietę następującymi słowami: „Co ósma firma MŚP podaje hakerom dane pracowników na tacy”.

Szyfrowana komunikacja

Bezpieczne przekazywanie dokumentów zawierających dane osobowe jest kluczowe dla każdego z nas. Niestety badanie wykazało, że 23 proc. MŚP przekazuje wrażliwe dane zatrudnionych osób w „sposób zupełnie niezabezpieczony”. Jednocześnie prawie połowa przedsiębiorców z wspomnianego sektora boi się o to, że przetwarzane przez nie dane wrażliwe mogą zostać wykradzione.

Przesyłanie załączników chronionych hasłem jest standardem bezpieczeństwa w przypadku przetwarzania poufnych informacji. Niestety badanie UODO wykazało, że mniej niż jedna trzecia MŚP wysyła szyfrowane maile z takimi załącznikami. Najbardziej przerażający jest fakt, że 14 proc. firm przesyła podwykonawcom nieszyfrowane maile wraz z załącznikiem niewymagającym hasła. Niecałe 10 proc. ankietowanych przedsiębiorstw przyznało, że przechowuje nieszyfrowane dane w chmurze oraz udziela do nich dostępu firmom zewnętrznym.

Dane na pendrive

Niedawno dużym echem obiła się kara wynosząca prawie ćwierć miliona złotych za… zgubienie pendrive’a z danymi osobowymi, co opisywaliśmy na łamach CyberDefence24. Niestety niektóre z przedsiębiorstw nadal stosują takie praktyki – 5 proc. ankietowanych przyznało, że przekazuje dane do biur rachunkowo-księgowych na fizycznych nośnikach (pendrive czy dysk zewnętrzny). Nieszyfrowane dane w takiej formie to zagrożenie dla bezpieczeństwa danych pracowników oraz narażanie się na wysokie kary od UODO.

”Istnieją na rynku szyfrowane nośniki tego typu. Pliki można także zaszyfrować, co w przypadku zgubienia takiej przenośnej pamięci czy jej kradzieży uniemożliwi albo przynajmniej utrudni zapoznanie się z danymi bez znajomości hasła” – powiedział Mirosław Wróblewski, prezes UODO

Jakie dane są przetwarzane?

Badanie wyszczególniło również rodzaje przetwarzanych danych przez mikro, małe i średnie przedsiębiorstwa.  Statystyki prezentują się następująco:

• Imiona i nazwiska – 86 proc.
• Numer PESEL – 75 proc.
• Numer dowodu osobistego – 62 proc.
• Dane zdrowotne (np. przy zwolnieniu lekarskim) – 43 proc.

„W rezultacie z powodu słabego poziomu zabezpieczeń w wielu MŚP, hakerzy w bardzo prosty sposób mogą wykraść komplet danych osobowych potrzebnych do popełnienia przestępstwa.” – podsumowało UODO. Warto podkreślić, że badanie zostało przeprowadzone wśród 400 firm z sektora MMŚP.

Przykłady nierozsądnego przetwarzania danych Polaków

Ataki ransomware na polskie organizacje udowadniają, że rekomendacje UODO są jak najbardziej słuszne. Na łamach CyberDefence24 opisaliśmy wyciek danych z Vindix (vindix.pl). Cyberprzestępcy opublikowali dokumenty zawierające m.in. imiona i nazwiska, numer PESEL, numer VIN, adres zamieszkania, datę urodzenia, imiona rodziców czy numer telefonu.

Takie pliki powinny być przechowywane w sposób, który uniemożliwiłby wyciek danych do sieci. W niedawno opisywanym przez nas wycieku z PUP Police niektóre dokumenty wyciekły do sieci, lecz baza danych zawierająca dane osobowe petentów urzędu była chroniona skomplikowanym hasłem – możliwe, że to m.in. dzięki temu nie została wykradziona przez RansomHub.

Podstawą jest świadomość tego, jakie dane są przetwarzane w organizacji oraz gdzie są zapisywane – nie da się monitorować tego, czego nie widać. Wyciek z POLADA pokazał, że wiele osób przechowywało poufne dane na swoim pulpicie.