Ochrona danych osobowych - groźne incydenty

Przeczytaj także: 5 sposobów na ochronę danych w Black Friday

Utrata nośników danych

Nieco rzadziej występującym incydentem jest utrata (zagubienie, kradzież) telefonu, laptopa, pamięci przenośnej, a nawet torby czy teczki z danymi w wersji papierowej.

W przypadku kradzieży sprzętu elektronicznego, skupiamy się najczęściej jedynie na utracie materialnej wartości sprzętu, nie zwracając uwagi na dane, które się na nim znajdowały. Dopiero później pojawiają się obawy o bezpieczeństwo danych i wątpliwości, czy twardy dysk laptopa jest szyfrowany lub czy można zdalnie usunąć dane z telefonu komórkowego. Dużym problemem dla poszkodowanego podmiotu może być brak właściwej kontroli nad sprzętem – często pracownicy korzystają ze swoich prywatnych laptopów, telefonów, itp. Jak wynika z policyjnych statystyk, zdecydowanie częściej giną telefony komórkowe niż laptopy. Jeżeli jest to zwykły telefon, utrata danych jest stosunkowo niewielka (książka kontaktowa), jednak gdy jest to smartfon ze skonfigurowaną skrzynką pocztową, wówczas sytuacja staje się już dużo poważniejsza. Skrzynka pocztowa, a konkretnie służbowy adres mailowy, bywa kluczem np. do intranetu firmowego lub systemu CRM (opcja przypominania hasła).

Inną grupą nośników danych, które często znikają z naszych zasobów są zwykłe kartki, teczki czy też segregatory z danymi. Do incydentów związanych z ich utratą dochodzi najczęściej w siedzibie podmiotu, np. w wyniku niefrasobliwości pracowników, którzy pozostawiają osoby postronne bez nadzoru w miejscach, gdzie takie dane są łatwo dostępne.

Taka osoba może zabrać teczkę lub segregator z danymi, a ich właściciel najczęściej dowie się o tym dopiero po jakimś czasie, gdyż nikt nie będzie podejrzewał kradzieży danych. Tego typu utrata danych grozi również roztargnionym podróżnym, którzy chcąc wykorzystać wolny czas w podróży służbowej, przeglądają firmowe dokumenty, a później zwyczajnie zapominają zabrać je z pociągu, autobusu czy dworca.
Niezależnie od rodzaju nośnika danych i sposobu jego utraty, każdy z przypadków należy jak najszybciej zgłosić swojemu administratorowi bezpieczeństwa informacji. Ważne, aby uczulić na to swoich pracowników.

Nieuprawnione udostępnienie danych

Udostępnianie danych osobowych budzi coraz więcej pytań i kontrowersji. Kiedy udostępniać? Komu udostępniać? Na jakiej podstawie? Otóż, powszechnie uznaje się, że udostępnienie danych polega na wręczeniu komuś kartki papieru zawierającej dane osobowe. W praktyce jednak taka forma występuje już niezwykle rzadko. Najczęściej przekazywanie danych następuje poprzez zdalne dostępy (np. VPN) przydzielane niekiedy bezterminowo (np. pracownikom czy serwisowi IT). Należy przy tym pamiętać, aby udostępniać poszczególne dane tylko tym osobom, które faktycznie na nich pracują, a także aby odbierać dostęp tym, którzy już go nie potrzebują, np. byłym pracownikom. Podczas przeprowadzanych audytów często okazuje się, że konta systemowe i mailowe poszczególnych pracowników są nadal aktywne, mimo że dana osoba już dawno w firmie nie pracuje. Takie zaniedbania już same w sobie są incydentem, gdyż nie mamy realnej kontroli nad tym kto ma dostęp do naszych danych. A weźmy pod uwagę, co się może stać, gdy osoba nieuprawniona zechce wykorzystać swój dostęp w złych intencjach…