Ak ste bežnou slovenskou firmou, ktorá má zamestnancov alebo zákazníkov, tak je vysoko pravdepodobné, že zbierate alebo spracovávate osobné údaje. Či už sú to údaje o svojich zamestnancoch, alebo informácie o zákazníkoch.
Len pred niekoľkými rokmi sa v odborných kruhoch viedli debaty o tom, čo je vlastne ten osobný údaj. Nové nariadenie o ochrane osobných údajov(GDPR), ktoré platí od 25. mája 2018 vo všetkých členských krajinách Európskej únie, definovalo osobný údaj presnejšie. Medzi osobné údaje podľa GDPR patrí napríklad meno, priezvisko, fotografia, e-mailová adresa, telefónne číslo, číslo účtu, odtlačok prsta, hlas a lokalizačné údaje. Ak si teda vo vašej firme niekto vyplní objednávku a zadá do nej svoje meno a adresu doručenia, posiela vám svoje osobné údaje a tie musíte vo firme chrániť.
Nariadenie taktiež hovorí, že firmy musia tieto údaje chrániť pred únikom (a dokonca aj stratou alebo pozmenením), inak čelia finančným a iným pokutám.
Zázračné riešenie na ochranu osobných údajov neexistuje
Mnohé firmy si mysleli, že pre splnenie požiadaviek GDPR im stačí zakúpiť len vhodný softvér alebo neidentifikovateľný produktový balíček. Prípadne, že svoj súlad s GDPR „outsourcujú“. Nie je známe, ako na trhu dopadli dodávatelia takýchto služieb. Skutočnosť je totiž taká, že GDPR priamo nenariaďuje používanie žiadnej konkrétnej technológie. Ochranu osobných údajov teda nemôžete prenechať len technológii, hoci je vo väčšine prípadov nevyhnutnou súčasťou.
Údaje z vašej firmy môžu uniknúť viacerými spôsobmi. Môže ísť napríklad o omyl alebo drobnú chybu. Zamestnanec napríklad omylom vloží do e-mailu nesprávnu prílohu alebo systém pomieša korešpondenciu a jednému zákazníkovi príde poštou faktúra iného zákazníka. Aj toto GDPR považuje za porušenie osobných údajov. Prvý zákazník sa totiž dostal k osobným údajom úplne inej osoby. Ďalej môže ísť o cielenú záškodnú činnosť zamestnanca. Niekto sa napríklad chystá odísť ku konkurencii a chce si so sebou vziať celú databázu. Údaje však, samozrejme, môžu uniknúť aj v dôsledku kybernetického útoku či prostredníctvom takzvaného sociálneho inžinierstva, keď sa útočník snaží naviesť zamestnanca na to, aby klikol na škodlivý odkaz alebo otvoril škodlivú prílohu.
Najúčinnejšie teda ochráni vaša firma svoje údaje kombináciou vhodných technických riešení a zvyšovaním povedomia zamestnancov o kybernetickej bezpečnosti.
Zamestnanci a technológie
Prinútiť svojich zamestnancov správať sa zodpovedne a chrániť citlivé firemné dáta a osobné údaje môžete dvoma spôsobmi. Ideálna je, prirodzene, ich kombinácia.
1.) Školenia a tréningy
Žiaden zamestnanec nebude chrániť údaje len preto, že mu to nakážete. Mal by poznať skutočný dôvod ochrany. Zamestnancov by ste preto mali informovať o dôsledkoch úniku alebo straty údajov. Pri úniku osobných údajov hrozí vašej firme finančná alebo iná pokuta, prípadne aj reputačné riziko a strata zákazníkov. Pri úniku firemných dát hrozí strata firemného know-how, produktových alebo projektových plánov a taktiež pokles tržieb.
Odporúčame preto robiť vo firme pravidelné tréningy, ktoré budú zamestnancom vysvetľovať, ako spoznať napríklad phishingový útok, koho o ňom informovať a čo vlastne robiť, ak už má zamestnanec pocit, že s jeho firemným počítačom nie je niečo v poriadku. Žiadna technológia totiž nie je stopercentná a útočníci stále častejšie využívajú sociálne inžinierstvo na prienik do firemného prostredia. Na Slovensku sú napríklad veľmi časté falošné e-maily zasielané na finančné oddelenia s cieľom prinútiť firmu zaplatiť falošnú faktúru. Tieto falošné e-maily môžu vyzerať, že prišli priamo od generálneho riaditeľa. Zamestnanci by preto mali vedieť, že takáto hrozba existuje a zároveň by mali vedieť, ako sa pred ňou chrániť. Špeciálne odporúčame zamerať sa školením na oddelenia, ktoré vo vašej firme najčastejšie komunikujú s externými kontaktmi. Napríklad personálne, finančné, obchodné oddelenie či oddelenie nákupu. Nechcený malvér totiž môže byť pribalený do fiktívneho životopisu či dôveryhodne vyzerajúcej faktúry.
Anti-phishing, ktorý je súčasťou ESET Endpoint Security, dokáže odchytiť odkazy smerujúce na stránky kradnúce osobné údaje. Nenaučí však zamestnancov nereagovať na falošné e-maily alebo SMS správy. Najslabším článkom IT zabezpečenia je vždy človek.
Na školenie môžete následne nadviazať napríklad testom a tých najšikovnejších odmeniť a vyzdvihnúť. Za zlé výsledky neodporúčame sankcie, malo by ísť skôr o pozitívnu motiváciu zamestnancov zvyšovať svoje bezpečnostné povedomie.
Ak vaša firma používa na ochranu osobných údajov šifrovanie, mali by ste ho naučiť používať všetky oddelenia a všetkých zamestnancov, ktorí pracujú s osobnými alebo pre vás hodnotnými údajmi. Z výskumov vyplýva, že čím komplikovanejšie šifrovacie riešenie si firma vyberie, tým je pravdepodobnejšie, že ho zamestnanci budú obchádzať. Toto by ste preto mali zohľadniť už pri výbere samotného šifrovania. Riešenie ESET Endpoint Encryption prihliada práve na jednoduché nasadenie a používanie.
2.) Vhodné smernice a interné procesy
Interne by ste sa mali rozhodnúť, ktoré oddelenia alebo zamestnanci vôbec budú mať prístup k osobným údajom alebo dátam, ktoré považujete za cenné. Prístup k nim môže chrániť samotné šifrovanie, bez dešifrovacieho kľúča ich totiž nesprávny zamestnanec (alebo kybernetický útočník) nebude vedieť prečítať. Zároveň môžete rozhodnúť, ktorí zamestnanci by mali mať prístup do firemnej siete aj zo služobnej cesty alebo počas práce z domu. Vstup do firemnej siete by rozhodne nemalo chrániť len heslo, ale aj dvojfaktorová autentifikácia. Tá je dôležitou súčasťou ochrany vašich dát v prípade, že zamestnancovi niekto ukradol heslo alebo ho uhádol. Bez druhého faktora sa totiž nesprávna osoba nedostane do firemnej siete a k dôležitým údajom.
Odporúčame vám tiež vypracovať interné smernice, ktoré budú zamestnancom zrozumiteľne vysvetľovať, čo sa bude diať, ak nebudú používať informácie zo školenia. Zamestnanci by si totiž mohli myslieť, že ich nezodpovedné správanie je nepostihnuteľné. Smernica môže jasne hovoriť, že napríklad nezašifrovanie dôležitej a citlivej databázy sa považuje za hrubé porušenie pracovnej disciplíny.
Niektoré firmy sa k smerniciam stavajú svojsky a venujú sa len ich hromadeniu a množeniu. Tento prístup vám zo skúsenosti neodporúčame. Svojich zamestnancov neprinútite dodržiavať bezpečnostné pravidlá tým, že im prikážete prečítať si 150 strán predpisov. Smernice nenahradia dlhodobé vzdelávanie.
Zamestnanci môžu firme škodiť aj cielene
Čo však so zamestnancami, ktorí často niečo niekde omylom uložia alebo firme cielene škodia? Podľa toho, čomu sa vaša firma venuje a ako si cení svoje dáta, je na mieste zvážiť používanie Data Leak Prevention riešenia. Toto riešenie napríklad nedovolí odoslanie vami identifikovaných údajov mimo firmy alebo ich kopírovanie. Dokáže taktiež spozorovať podozrivé správanie zamestnancov a identifikovať tak potenciálne zdroje úniku údajov.
V prípade, že sa vaša firma alebo IT oddelenie stará o zabezpečenie viac ako 250 zariadení a zároveň považujete údaje, s ktorými pracujú zamestnanci za obzvlášť citlivé, odporúčame zvážiť používanie Endpoint Detection & Response riešenia, ktoré ESET ponúka pod názvom ESET Enterprise Inspector. Ide o nástroj, ktorý analyzuje vašu firemnú sieť a v prípade infekcie ponúka zrozumiteľný prehľad, ako a cez koho sa do vašej siete dostala.
V ESETe vieme, že samotné technológie treba prepájať so vzdelávaním zamestnancov a nastavovaním interných procesov. Pre firmy sme preto vytvorili zrozumiteľnú e-knihu Ochrana údajov pre malé a stredné firmy, ktorú si bezplatne môžete stiahnuť na našom webe. Vďaka tomuto zhrnutiu získate prehľad o súčasných hrozbách, ale aj o bezpečnostných technológiách, nástrojoch a procesoch, ktoré pomáhajú chrániť vaše firemné dáta. Dozviete sa taktiež, ako efektívne minimalizovať riziká a následky úniku údajov, a prečo je dôležité naučiť to aj zamestnancov.