Podczas jednego ze szkoleń w zakresie ochrony danych osobowych i bezpieczeństwa informacji w firmie, dodam, że na zakończenie spotkania, pewien uczestnik zadał mi bardzo intrygujące pytanie. Cytuję: „Ale dlaczego nie mogę zostawiać komputera w samochodzie?” Ja, jako osoba, która od wielu lat zajmuje się bezpieczeństwem danych osobowych w organizacji, początkowo uznałam to pytanie, jako brak uwagi uczestnika prawie w czterogodzinnym szkoleniu. Ponieważ nie ma głupich pytań, postanowiłam bardzo szczegółowo opisać możliwe konsekwencje tej 10 sekundowej decyzji, jaką może być pozostawienie komputera służbowego, i nie tylko, w samochodzie, bo i np. w kawiarni. I tym się właśnie dziś z Państwem podzielę.
Zacznę od tego, że w Polityce Bezpieczeństwa lub w innej obowiązującej w firmie procedurze znajduje się zapis o zakazie pozostawiania komputera w samochodzie służbowym i prywatnym. Zatem została już złamana podstawowa zasada bezpieczeństwa. Wyobraźmy sobie proszę, że właśnie nam ten komputer z tego właśnie samochodu skradziono (opisuję fakt z życia wzięty). I nie był to byle jaki komputer, bo Asystentki Pana Prezesa. Sytuacja o tyle prosta, że Asystentka wiedziała do kogo natychmiast zadzwonić. Zadzwoniła więc do ABI (czyli do mnie, bo wówczas pełniłam między innymi, taką funkcję w organizacji) z pytaniem, co w takiej sytuacji ma zrobić? Brawo dla Asystentki, bowiem był piątkowy wieczór, i pomimo procedur, mogła zwrócić się z tym pytaniem dopiero w poniedziałek. ABI przeszkolony, wprawiony w boju, zaczął szybko zadawać pytania (ta umiejętność też jest potrzebna) i uzyskiwał odpowiedzi, zatem uwaga, dialog: Gdzie jesteś? Na lotnisku. Kiedy skradziono komputer? Jakieś pół godziny temu? Widziałaś to zdarzenia? Nie. Zawiadomiłaś ochronę? Tak. Wezwałaś Policję? Nie. Zatem proszę to zrobić. I tu wyjaśnię dlaczego – w celach dowodowych. Co zginęło? Cała torba na komputer w której był komputer i zewnętrzne pamięci w formie pendrive. Jakieś dokumenty? Nie. Czy hasło do programów było zapamiętane (tu dodam, że użytkownicy często sami sobie zmieniają ustawienia)? Nie pamiętam. Gdzie trzymałaś informacje na komputerze? Na pulpicie. W folderach? Tak, i nie tylko. Czy były zabezpieczone (i mam tu na myśli zabezpieczone hasłem, zaszyfrowane, dostęp przez VPN)? Nie, po prostu w folderach, bez haseł. A pendrive? Były puste (uff …). Co było w tych folderach? I tu się załamałam, gdy otrzymałam informację, że wszystko… Możecie sobie Państwo wyobrazić, co to znaczy wszystko w dużej firmie, z wieloma oddziałami, notowanej na giełdzie, przetwarzającej ogromne ilości danych i informacji… Począwszy od danych o pracownikach i ich wynagrodzeniach, wykazy kontrahentów, wyniki finansowe, plany firmy, kontrakty, bazy klientów i kontrahentów, podsumowania z posiedzeń Zarządu, kalendarz spotkań Pana Prezesa, plany marketingowe, bazy Newsletter oraz inne, strategiczne dla firmy. Zatem, jako ABI, po tak krótkiej rozmowie, dzwonię do przyjaciela ASI (dla pewności wyjaśnię, że ASI to Administrator Bezpieczeństwa Informatycznego), i szybkim tempem podejmujemy działania w celu zdalnego, dodatkowego zabezpieczenia i anulacji wszelkich możliwych dostępów, dokumentów i informacji. Działania w toku, temperatura na najwyższym poziomie, alert w organizacji. Dzwonię do Działu PR i mówię, słuchajcie, mamy incydent (wyjaśniam oczywiście jaki), szykujemy oświadczenie prasowe, w razie, gdyby dane ze skradzionego komputera zostały upublicznione… Ciąg dalszy… Wydaje się, że sytuacja opanowana. Powiadomiono Zarząd, IT nie spało, ABI i ASI szacowali skutki zaistniałej sytuacji. Na miejscu zdarzenia wezwano Policję, opisano incydent w celach dowodowych, komputera i danych nie odzyskano, ubezpieczyciel nie wypłacił odszkodowania, kosztami utraty sprzętu obciążono pracownika, w firmie maksymalnie zaostrzano politykę użytkowania sprzętu IT i przechowywania dokumentacji i informacji „na pulpitach”. Na szczęście, informacje nie zostały upublicznione, firma nie była szantażowana, zatem klienci i kontrahenci spali spokojnie, nie było ataków na infrastrukturę IT, nie wypłacano odszkodowań za ujawnienie, upublicznienie informacji. Jednym słowem i na szczęście złodziej nie miał świadomości o wartości posiadanych informacji.
Krótka refleksja, czy my na pewno wiemy, do jakich danych mają dostęp nasi pracownicy i jak są one w rzeczywistości przechowywane? Czy my na pewno jesteśmy na to przygotowani? I chyba nie muszę już dalej odpowiadać na zadane przez uczestnika szkolenia pytanie. Pozostawienie komputera w samochodzie każdemu może się zdarzyć. Czy są jakieś pytania? Ciąg dalszy nastąpi …
Dziękujemy
W imieniu ABI i ASI
„Privacy By Design”
P.S. Tak przy okazji dodam, że nowe Rozporządzenie UE nr 2016/679 z 27.04.2016 wprowadza obowiązek zgłaszania incydentów do organu nadzorczego w terminie 72 godzin.
Felieton mogą Państwo pobrać w formacie PDF tutaj.