95 proc. mikro, małych i średnich przedsiębiorców przetwarza dane osobowe pracowników, z czego 49 proc. przekazuje je do biur księgowo-rachunkowych. Przytłaczająca większość z tej grupy (88 proc.) uważa, że są one przez podwykonawców prawidłowo zabezpieczone przed dostępem niepowołanych osób. Z drugiej jednak strony aż 45 proc. respondentów boi się, że mogą one zostać skradzione.
Ignorowanie podstawowych zasad cyberbezpieczeństwa
Chociaż papierowa dokumentacja przechodzi do lamusa, to w tej formie biurom rachunkowo-księgowym czy agencjom HR nadal dokumenty dostarcza aż 38 proc. ankietowanych. Znacznie częściej przedsiębiorstwa z sektora MŚP przekazują dane osobowe pracowników w formie elektronicznej. Niestety przez lekceważenie zasad cyberbezpieczeństwa ta wygodna forma komunikacji z zewnętrznymi kadrami naraża na niebezpieczeństwo część pracowników.Zaledwie 31 proc. respondentów wysyła szyfrowane e-maile z załącznikiem chronionym hasłem dostępu do pliku. Najczęściej tego typu zabezpieczenie stosują średnie firmy (38 proc.), a rzadziej małe i mikro (po 31 proc.). Z kolei 22 proc. przedsiębiorców przesyła szyfrowane e-maile z załącznikiem, choć nie są one zabezpieczone hasłem. Natomiast 16 proc. ankietowanych przechowuje szyfrowane dokumenty w chmurze, które następnie udostępnia zewnętrznym partnerom.
Szyfrowana komunikacja e-mailowa na nic się zda, jeżeli załączane do niej pliki z danymi osobowymi pracowników nie będą dodatkowo chronione hasłem. Wystarczy, że nadawca pomyli adres odbiorcy, by takie dane trafiły do niewłaściwej osoby i doszło do naruszenia ochrony danych. Niestety wśród firm z sektora MŚP zdarzają się również przedsiębiorstwa, które całkowicie nieodpowiedzialnie podchodzą do ochrony danych osobowych pracowników. Aż 14 proc. respondentów wysyła podwykonawcom nieszyfrowane e-maile z załącznikiem bez wymaganego hasła dostępu do pliku.
To największa bolączka małych firm (23 proc.) z branży handlowej (25 proc.) i transportowej (21 proc.), które są obecne na rynku powyżej 10 lat (32 proc.). Zdecydowanie częściej funkcjonują w formie spółek (19 proc.) niż jednoosobowych działalności gospodarczych (5 proc.). Niestety pomimo dużego biznesowego doświadczenia, bardzo lekceważąco podchodzą do ochrony danych osobowych pracowników i klientów, które w efekcie są wyjątkowo łatwym celem dla hakerów ostrzega Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.Równie lekkomyślne postępuje 9 proc. ankietowanych, którzy przechowują nieszyfrowane dokumenty w chmurze, a następnie udzielają do niej dostępu firmom zewnętrznym.
To nie zamyka listy grzechów MŚP. 5 proc. z nich co prawda już nie wozi do biura rachunkowo-księgowego papierowych dokumentów pracowników, ale przekazuje je na pendrive lub zewnętrznym dysku. Jeśli ten zginie lub zostanie skradziony, dane pracowników stają się dostępne dla postronnych osób.
Administratorzy danych, czyli pracodawcy, powinni przeprowadzić analizę ryzyka i zidentyfikować zagrożenia, jeżeli przekazują dane na nośnikach typu pendrive. Analiza powinna wykazać konieczność odpowiedniego zabezpieczenia takich urządzeń. Istnieją na rynku szyfrowane nośniki tego typu. Pliki można także zaszyfrować, co w przypadku zgubienia takiej przenośnej pamięci czy jej kradzieży uniemożliwi albo przynajmniej utrudni zapoznanie się z danymi bez znajomości hasła mówi Mirosław Wróblewski, prezes UODO.Warto wiedzieć, że UODO nakładało już kary na administratorów, u których doszło do naruszenia ochrony danych z powodu utraty perndrive’a, na którym dane nie były w żaden sposób zabezpieczone.
Postępowania UODO najczęściej wykazywały brak odpowiedniej analizy ryzyka, która pomogłaby uzmysłowić sobie konieczność odpowiedniego zabezpieczenia takich nośników. Niekiedy analiza była pobieżna, co zaowocowało np. wdrożeniem niewystarczających procedur związanych z zabezpieczeniem danych na zewnętrznych nośnikach, czy brakiem nadzoru nad przestrzeganiem opracowanych reguł dodaje Mirosław Wróblewski.
Hakerzy zacierają ręce i mają ku temu powody
Nic dziwnego, ponieważ zgodnie z danymi Głównego Urzędu Statystycznego firmy z sektora MŚP zatrudniają 7,3 mln pracowników. Dla cyberprzestępców oznacza to 7,3 mln potencjalnych ofiar ataków. A wykradziony łup może być bezcenny.Mikro, małe i średnie firmy najczęściej przetwarzają imię i nazwisko zatrudnianych pracowników (86 proc.), a także numer telefonu (80 proc.). Nieco rzadziej adres zamieszkania i numer PESEL (po 75 proc.). W dalszej kolejności adres e-mail (70 proc.), numer rachunku bankowego (68 proc.) i dowodu osobistego (62 proc.), oraz dane zdrowotne o absencjach czy przebytych chorobach (43 proc.). W rezultacie z powodu słabego poziomu zabezpieczeń w wielu MŚP, hakerzy w bardzo prosty sposób mogą wykraść komplet danych osobowych potrzebnych do popełnienia przestępstwa.
Po co komu zastrzeżenie numeru PESEL? Więcej na ten temat TUTAJ.
Źródło: Kaczmarski Group
grafika poglądowa
