To tylko jeden z przykładów tego, w jaki sposób oszuści mogą wykorzystać dla własnych korzyści cudze bazy danych, które są dziś powszechnie prowadzone. Informacje o użytkownikach zbierają m.in. banki, firmy telekomunikacyjne i ubezpieczeniowe, instytucje rządowe, a także sklepy internetowe czy portale społecznościowe. 28 stycznia przypada europejski Dzień Ochrony Danych Osobowych. Postanowiliśmy z tej okazji przypomnieć, jak dochodzi do ich wycieków i jak się przed nimi bronić.
Sprawdź także: Chcesz zniknąć z baz danych osobowych? Sprawdź, jak to zrobić
Rozbudowane bazy danych mogą trafić w niepowołane ręce m.in. w wyniku ataku hakerów. Wykradają oni informacje o klientach przedsiębiorstw lub użytkownikach platform i portali internetowych, a następnie oferują je kupcom na czarnym rynku. Jednak łamanie zabezpieczeń internetowych to nie jedyny sposób kradzieży danych osobowych. Dane serwowane są zwykle złodziejom, jak na tacy, przez nieświadomych pracowników. W jaki sposób?
Uważaj na e-maile
Do wycieków danych dochodzi często przez błędy w korespondencji elektronicznej. Prawie każdemu zdarzyło się chociaż raz w życiu wysłać e-mail do innej osoby, niż planował. Zwykle dzieje się to przez automatyczne podpowiedzi. To czy taka pomyłka okaże się groźna zależy głównie od tego co i komu wyślemy. Skala problemu zwiększa się istotnie, gdy wysyłamy wiadomość do wielu odbiorców. Niewykorzystanie opcji „ukrytej kopii", skutkuje tym, że wszyscy odbiorcy e-maila mają dostęp do bazy, na którą został wysłany. Im więcej adresów wypłynie w ten sposób, tym gorzej. Istnieje duże prawdopodobieństwo, że jedna z osób, której e-mail został ujawniony, pokusi się o zgłoszenie spawy do GIODO. Taki wyciek może również bardzo negatywnie wpłynąć na wizerunek firmy. W sieci funkcjonują już strony, na których znajdują się wykazy firm, nie dbających we właściwy sposób o ochronę danych osobowych.
Czytaj też: Oszuści coraz częściej polują na nasze dane osobowe
Nośniki danych po kontrolą
Innym kanałem wycieków danych są ich nośniki – laptopy, telefony komórkowe, dyski przenośne, a nawet dokumenty w wersji papierowej. Gdy zgubimy lub gdy zostanie nam skradziony np. smartfon w pierwszej chwili martwimy się głównie materialną wartością samego sprzętu, jednak często okazuje się, że znacznie bardziej cenne było to co znajdowało się w środku. Komórka czy laptop ze skonfigurowaną skrzynką pocztową, może być dzięki opcji przypominania hasła kluczem np. do firmowego systemu CRM czy intranetu. Podobny problem może dotknąć firmę, gdy pracownik zgubi swój prywatny sprzęt, jeśli korzystał z niego do celów służbowych. Z tego względu pracodawca powinien sprawować odpowiednią kontrolę nad sprzętem, używanym przez jego zespół do pracy.
Nie udzielaj informacji przez telefon
Telefon jest obecnie jednym z najbardziej niebezpiecznych kanałów przekazywania danych. Oszuści wykorzystują go nie tylko do tego, aby naciągnąć babcie „na wnuczka", lecz także aby wyłudzać poufne informacje od pracowników przedsiębiorstw. Przedstawiają się w tym celu jako urzędnicy skarbowi, inspektorzy GIODO, informatycy firmowi czy komornicy lub pracownicy banku i pytają o różne dane, a wiele osób bez zastanowienia je im udziela, nie domyślając się podstępu. Takie wycieki danych pozostają zwykle nieujawnione do momentu wykorzystania ich w przestępczym procederze, właśnie ze względu na niską świadomość pracowników, którzy nie przekazują dalej informacji o dziwnym telefonie.
Zobacz również: Facebook pod lupą UOKiK. Chodzi o nasze dane osobowe
Pilnuj dostępów do firmowych baz
Kanałem wycieków bywają także zdalne bazy danych, do których dostępy są zwykle udzielane bezterminowo. Podczas audytów przeprowadzanych w firmach często okazuje się, że konta systemowe i skrzynki mailowe byłych pracowników wciąż są aktywne, mimo że dany człowiek zmienił pracę już jakiś czas wcześniej. W rezultacie przedsiębiorca nie ma realnej kontroli nad osobą, która ma dostęp do informacji nt. jego przedsiębiorstwa. Tymczasem to właśnie byli pracownicy zdarzają się złodziejami firmowych danych. Warto więc pilnować, aby dostęp do danych mieli tylko Ci, którzy z nich faktycznie korzystają i odbierać je byłym pracownikom.
Jak nie dopuścić do wycieku?
To tylko niektóre przykłady sytuacji, przez które firmowe dane trafiają w niepowołane ręce. Jak do nich nie dopuścić? Rozwiązaniem, które pozwoli uniknąć większości wymienionych wyżej zdarzeń, jest wdrożenie w przedsiębiorstwie procedur dotyczących ochrony danych osobowych. Nie będzie to jednak skuteczne, bez odpowiedniej komunikacji. Pracownicy muszą być świadomi dlaczego powinni zgłaszać pracodawcy wszelkie incydenty, które mogły doprowadzić do wycieku danych. Warto więc regularnie szkolić osoby, które przetwarzają dane w firmie i systematycznie sprawdzać czy wdrożone procedury sprawdzają się w praktyce.
