Jednym z najważniejszych, jeżeli nie najważniejszym zabezpieczeniem danych osobowych oraz innych cennych informacji jest…świadomość pracownika.
Już spieszę z wyjaśnieniem, ale na początku kilka przykładów.
W wakacje 2020 r. na wielu portalach internetowych pojawiła się wiadomość, o tym że wyciekły nagrania miejskiego monitoringu, który uwiecznił dwie pary zakochanych, które ewidentnie poniosło na wieży widokowej. Nagrania dostępne były w sieci. A przypominam, że jeśli coś raz pojawi się w Internecie, już zawsze będzie można tam to znaleźć. Poza odpowiedzialnością dyscyplinarną, osobie udostepniającej takie nagranie, grozi również odpowiedzialność karna. Najważniejsze w całej tej sytuacji jest, w jaki sposób doszło do wycieku. Czy skopiowano całe nagranie z rejestratora i zamieszczono je w sieci? Otóż nie.
Z nieoficjalnych informacji, do których udało mi się dotrzeć, wynika że nagranie, które “wyciekło do sieci”, to zarejestrowany przy użyciu telefonu, obraz z ekranu monitora. Możemy domniemywać, że osoba mająca dostęp do zarejestrowanych zapisów wyświetliła nagranie, a druga nagrała to na telefon.
Co w tym przypadku zawiodło? Administrator danych, zabezpieczył informacje przed wyciekiem, stosując połączenie zabezpieczeń organizacyjnych i technicznych, to jednak nie wystarczyło. Nie było to włamanie, czy atak hakerski. Był to brak świadomości osoby bądź osób odpowiedzialnych za monitoring, czyli jednego z najważniejszych, jeżeli nie najważniejszego zabezpieczenia.
Zapominamy, że praktycznie każdy z nas nosi w kieszeni smartfon, który ma większą moc obliczeniową niż komputer, który pomógł człowiekowi postawić nogę na księżycu podczas misji Apollo 11.
W jednym urządzeniu mamy aparat, kamerę, kafejkę internetową, aha no i telefon. Nie potrzeba wiele, żeby nieodpowiedzialna osoba wyjęła telefon i zrobiła zdjęcie, albo jak w opisywanym przypadku nagrała film z monitoringu wyświetlany na ekranie komputera.
Inny przypadek: w Urzędzie Miejskim (miasto powyżej 100 tys. Mieszkańców). Na części pięter wyznaczono obszar ograniczonego dostępu dla interesantów. Pracownicy mogą otworzyć drzwi przy użyciu karty magnetycznej. Interesanci, w uzasadnionych przypadkach, mogą pobrać kartę gościa w biurze obsługi mieszkańców.
Zasady wejścia do strefy z ograniczonym dostępem są uregulowane w stosownej polityce, natomiast zdarzały się sytuacje, że we wspomnianych strefach pojawiały się osoby, które były wpuszczane przez pracowników, na zasadzie “Bo ja tam na chwilkę do Pani Asi, proszę mnie wpuścić“. No i w 99% przypadków to była prawda. Pozostał ten 1%…
Jednego dnia pojawiła się informacja, że kilku osobom ze strefy z ograniczonym dostępem skradziono portfele. Dzięki działającemu w urzędzie monitoringowi ustalono, że kradzieży dokonała osoba, którą wpuścił niefrasobliwy pracownik. Osoba odpowiedzialna za kradzież zaglądała do pokoi, aż w końcu znalazła taki, który był otwarty, a wewnątrz nie było żadnego pracownika. Szczęście w nieszczęściu, że nic poza portfelami nie zniknęło. Kolejny przypadek, w którym zabezpieczenia techniczne nie zostały “przełamane” jak w kinie akcji, przy wykorzystaniu najnowszej technologii. Zawiódł czynnik ludzki. Po pierwsze – wpuszczenie do obszaru z ograniczonym dostępem osoby niepowołanej, po drugie – niezamknięcie pokoju, gdy nikogo w nim nie było.
Świadomość pracowników należy budować nie tylko cyklicznymi szkoleniami, które oczywiście są istotnym elementem poprawiającym wiedzę o bezpieczeństwie. Trzeba również powiedzieć “SRAWDZAM!!!”, czyli zweryfikować w praktyce, jak wygląda przestrzeganie procedur. Między innymi do tego, służą audyty. Przykłady? Proszę bardzo:
Audyt wykorzystujący metody socjotechniczne – sprawdzenie polegające na manipulacji, wprowadzaniu w błąd, odwracaniu uwagi “ofiary”, np. w celu uzyskania korzyści, wejścia do strefy ograniczonego dostępu czy uzyskania informacji. Korzystniejsze dla Organizacji będzie przetestowanie wprowadzonych zabezpieczeń organizacyjnych, w kontrolowanych warunkach, niż przekonanie się na “własnej skórze”, że nie wszystko działa jak należy.
Sprawdzenie wykonywane po godzinach pracy – w tym przypadku, wyznaczona osoba, weryfikuje czy pracownicy zamknęli drzwi swoich pokoi na klucz, czy przestrzegają zasady czystego biurka
i zabezpieczyli cenne informacje przed osobami nieuprawnionymi. Mówiąc ogólnie, czy dokumenty zostały zamknięte w przeznaczonej do tego szafie i czy klucz nie został w zamku. Zauważyłem, że zostawianie kluczy w zamkach to praktyka, która powtarza się dość często bez względu na branżę. Przecież co złego może się stać… prawda?
Wyniki tego rodzaju audytów warto omawiać na szkoleniu bądź spotkaniu z pracownikami, ale nie po to, żeby wytknąć błąd osobom, które zostały poddane audytowi. Celem w takim wypadku jest przypomnienie o tym, że ustalone w Organizacji zasady ochrony danych, nie są martwymi zapisami, które z nudów wymyślił Administrator.
Wyszczególnione w politykach zasady bezpieczeństwa mają chronić Administratora danych przed wystąpieniem incydentów i ich konsekwencjami. Ale przede wszystkim celem stosowania tych zasad jest ochrona praw i wolności osób, których dane na co dzień przetwarzają pracownicy. I są to naprawdę nie tylko duże ilości tych danych, ale często są to tzw. dane wrażliwe.
Przestrzeganie zasad bezpieczeństwa, przez pracowników, może uchronić ich przed negatywnymi konsekwencjami incydentu, albo jak w przytoczonych przypadkach do incydentu w ogóle by nie doszło.
Spotkałem się również z mniej konwencjonalnymi metodami eliminowania złych nawyków mających wpływ na bezpieczeństwo w Organizacji. Osoba odpowiedzialna za bezpieczeństwo informacji, u jednego z klientów, których obsługiwałem, pokazała mi jak podnosi świadomości współpracowników. Wspomniana osoba, przechodząc obok pokoju, w którym klucze zostawiono w zamku od zewnętrznej strony, zamykała pokój i klucz zabierała ze sobą. Pracownicy z tego pokoju musieli potem odzyskać klucz, poprzez np. zrobienie kawy. Przy okazji, poznałem ciekawy sposób na zachęcenie do wylogowywania się z systemu, przed odejściem od komputera. Otóż, jeżeli ktoś się nie wylogował i wyszedł z pokoju, współpracownicy z radością zmieniali tej osobie tapetę na pulpicie na taką, której nikt by sobie sam nie ustawił.
Wykorzystując przykłady z początku artykułu, na miejscu Administratora danych, do obrony przed negatywnymi skutkami incydentów wykorzystałbym to, że pracownicy przeszli szkolenie z zakresu danych osobowych, zapoznali się z Polityką ochrony danych oraz pisemnie zobowiązali się do przestrzegania zasad w niej opisanych.
Czy mógł zrobić coś więcej?
Moim zdaniem można zrobić więcej. Jeżeli Administratorzy danych będą dbali o poprawianie świadomości pracowników, w zakresie ogólnie pojętego bezpieczeństwa informacji, ochroni ich to przed incydentami i naruszeniami, przed którymi nie chroni najnowszy Firewall czy drzwi antywłamaniowe.
Kierując się myślą, że to człowiek jest jednym z najważniejszych zabezpieczeń, wraz z zespołem, przygotowaliśmy dla klientów CompNet dedykowany audyt pod nazwą “Budowanie świadomości pracowników z zakresu ochrony danych osobowych”. Z praktyki przyznam, że tego rodzaju sprawdzenie składa się z kilku elementów i jest świetnym źródłem wiedzy zarówno dla Administratora danych jak i Inspektora ochrony danych. Dzięki takim działaniom, można precyzyjniej nakierować dalszą pracę nad podejściem pracowników do ochrony danych osobowych, a co za tym idzie, za poprawą bezpieczeństwa całego systemu ochrony danych w Organizacji.
Wyrobienie dobrych nawyków ma również przełożenie w życiu prywatnym. Jeżeli pracownik nie otwiera linków w wiadomościach z nieznanych źródeł, to jest duża szansa, że na prywatnej skrzynce mailowej również nie kliknie w link akceptujący zmianę regulaminu zawarty we wiadomości, wyglądającej jakby była wysłana z popularnego portalu społecznościowego, a faktycznie wysłany przez kogoś kto wykorzystuje naiwność lub niewiedzę innych osób.
Arkadiusz Kępski – Inspektor Ochrony Danych – Kierownik Projektu CompNet sp. z o.o.