Problem wycieku danych dotyczy wszystkich. Może się przydarzyć zarówno korporacjom, jak i mniejszym przedsiębiorstwom, a także prywatnym osobom. Zjawisko to narasta z powodu coraz większej ilości danych, które przetwarzane są w systemach informatycznych. By nie dochodziło do wycieków, konieczna jest większa świadomość na temat cyberzagrożeń, edukacja pracowników i przestrzeganie procedur bezpieczeństwa.  

JAK WYCIEKAJĄ DANE Z FIRMY?

Wycieki danych niekoniecznie mają związek z ingerencją hakerów, o czym piszemy poniżej.

Brak świadomości oraz nieuważność 

Bardzo często źródłem wycieku jest nieświadome działanie osoby, która je przetwarza. Przykładowo – pracownicy firm rozsyłając informację drogą elektroniczną do wielu odbiorców jednocześnie, zwykle korzystają z funkcji “do wiadomości” (DW). Nie jest to dobrą praktyką, ponieważ każdy z odbiorców e-maila uzyskuje wówczas informację o adresach pozostałych korespondentów. Zalecanym rozwiązaniem jest korzystanie z opcji “ukryte do wiadomości” (UDW). 

Błędna konfiguracja systemu

Nierzadkim zjawiskiem są też błędnie skonfigurowane systemy (FTP, bazy danych, repozytoria kodu i dokumentów), które umożliwiają pracownikom dostęp bez znajomości hasła. Pracownicy uzyskują odrobinę wygody kosztem bezpieczeństwa danych. Dodatkowa pomyłka administratora w konfiguracji infrastruktury może skutkować ekspozycją takiego systemu do sieci publicznej i stamtąd już prosta droga do wycieku. Jeśli żaden przestępca osobiście nie obierze sobie za cel infrastruktury firmy, to zrobią to boty skanujące sieć w poszukiwaniu właśnie takich łakomych kąsków.  

Zagubione lub porzucone nośniki danych 

Do wycieku danych może dojść również w sytuacji zgubienia lub kradzieży niezaszyfrowanego laptopa, smartfona, dysku twardego lub pendrive. Na rynku wtórnym natomiast nierzadko można natrafić na wyprzedaże poleasingowego lub przestarzałego sprzętu, który nie jest już wykorzystywany. Często zawiera on dane, które nie zostały w prawidłowy sposób zutylizowane i których odczytanie nie stanowi wyzwania dla kupującego. 

Porzucone lub niezabezpieczone dokumenty 

Wyciek danych nie zawsze dotyczy nośników elektronicznych czy sieci. W czasach ogólnej cyfryzacji rzadko wspomina się, jak istotny wpływ ma prawidłowe zarządzanie i utylizacja dokumentów. Należy też wspomnieć tutaj o zasadzie “czystego biurka”. Pozostawione na biurku dokumenty to poważne naruszenie bezpieczeństwa, ponieważ podczas naszej nieobecności w biurze mogą dostać się do niego nieuprawnione osoby.

Oczywiście sam dostęp do danych nie zawsze kończy się wyciekiem i nie wszystkie niezabezpieczone dane lub porzucone dokumenty trafią w niepowołane ręce. Niemniej jednak nie powinno się bagatelizować problemu i narażać firmy na straty. 

WYCIEK DANYCH A DZIAŁANIE HAKERÓW

Działania przestępców są poważnym zagrożeniem dla bezpieczeństwa danych firmy. Skradzione informacje są cennym towarem na czarnym rynku. Haker może więc je sprzedać albo wykorzystać do przeprowadzenia kolejnych, wyrafinowanych ataków. 

Cyberprzestępcy często kierują swoją uwagę na serwisy internetowe, które umożliwiają użytkownikom rejestrację. Dlaczego? Ponieważ celem ich ataku są dane do logowania, czyli najczęściej adres e-mail i hasło. Niestety, wiele osób, wśród których są pracownicy firm, używa jednego hasła do wielu serwisów. Jak łatwo się domyślić, istnieje duże prawdopodobieństwo, że cyberprzestępca, który zdobędzie takie dane, dostanie się też do strzeżonych informacji konkretnego przedsiębiorstwa. Dla zobrazowania sytuacji podamy przykład. Haker wykradł hasło danej osoby z forum dyskusyjnego, po czym posługując się tym samym hasłem, zalogował się do skrzynki e-mail. Po zdobyciu dostępu do poczty zresetował i zmienił hasło do służbowego konta pracownika, dzięki czemu zdobył dostęp do danych firmy. 

Choć hasła w bazach danych coraz częściej przechowywane są w formie niejawnej (kryptograficzna funkcja skrótu), istnieją skuteczne metody odzyskania ich formy jawnej. Należy mieć świadomość, że nawet zestaw danych osobowych pozbawionych haseł jest cennym towarem, który daje hakerom możliwość wykonania ukierunkowanych ataków. Zdarza się także, że w ramach procesu uwierzytelniania stosowany jest PESEL, który podlega specjalnej ochronie zgodnie z art. 87 RODO i powinien być przetwarzany zgodnie z zasadą minimalizacji danych. 

Ogromnym zagrożeniem, zwłaszcza dla przedsiębiorstw jest również ransomware. Ofierze wyświetlane jest zazwyczaj żądanie okupu w zamian za klucz umożliwiający odszyfrowanie plików. Dane, które wyciekają z firmy, dotyczą nie tylko jej bezpośrednio, ale również podmiotów zewnętrznych, np. kontrahentów. O tego typu złośliwym oprogramowaniu pisaliśmy obszernie w pozostałych artykułach:

• Ataki RANSOMWARE
• Co to jest ransomware i dlaczego nie należy go bagatelizować. 

JAK ZADBAĆ O BEZPIECZEŃSTWO?

Nawet najlepiej zabezpieczony system informatyczny będzie podatny na ludzkie błędy, dlatego tak ważna jest świadomość pracowników. By zminimalizować negatywne skutki wycieku danych, warto przestrzegać kilku zasad: 

Im mniej, tym lepiej 

Podawaj minimum wymaganych danych osobowych. Im mniej danych osobowych na Twój temat będzie przetwarzanych, tym mniej atrakcyjne będą dla hakerów lub trudniej będzie je wykorzystać do przeprowadzenia ataku lub kradzieży tożsamości.  

Oddziel przestrzeń służbową od prywatnej 

To dobra praktyka, dzięki której zwiększysz swoją prywatność. Najlepiej jest posiadać więcej niż jedną skrzynkę e-mailową – osobną do spraw urzędowych, zakupów i serwisów rozrywkowych. Praktyka ta zwiększa prywatność i w razie wycieku znacznie ogranicza czynności, które trzeba wykonać (np. zmiana adresów e-mail, numerów telefonów).  

Włącz uwierzytelnianie wieloskładnikowe 

Uwierzytelnianie wieloskładnikowe daje Ci dodatkową warstwę zabezpieczeń, która uchroni Cię przed utratą dostępu do swojego konta nawet w przypadku przechwycenia przez kogoś hasła. Dlatego tak istotne jest wykorzystywanie tego mechanizmu tam, gdzie to możliwe. Jako pracodawca powinieneś zadbać o to, żeby Twoi pracownicy stosowali uwierzytelnianie wieloskładnikowe podczas logowania do systemów firmowych takich jak poczta czy VPN. 

Korzystaj z menadżera haseł 

Dzięki temu Twoje hasła mogą być unikalne i silne, co w dużym stopniu utrudnia ataki. Dodatkową korzyścią jest to, że nie trzeba pamiętać swoich haseł – menadżer nie tylko je wygeneruje, ale też zapamięta i będzie magazynował w bezpiecznym sejfie.

Reaguj na ostrzeżenia o incydentach 

Przepisy ustawy o ochronie danych osobowych nakładają na administratora danych osobowych obowiązek poinformowania użytkowników, jeżeli został wykryty wyciek danych. Informacja taka musi zawierać przede wszystkim zakres danych, które wyciekły. Nie ignoruj tego typu informacji i w razie wycieku – postępuj zgodnie z zaleceniami administratora. Jednak zanim to zrobisz, upewnij się, że wiadomość nie jest próbą phishingu. Zalecamy, by wcześniej skontaktować się z administratorem i potwierdzić, że faktycznie doszło do wycieku.