Materiał powstał we współpracy z firmą DAGMA Bezpieczeństwo IT i Safetica
W dzisiejszych czasach dane to najcenniejsze aktywa przedsiębiorstw. Ich utrata w skrajnych sytuacjach może prowadzić nawet do upadłości. I choć wydawać by się mogło, że największym zagrożeniem są ataki z zewnątrz, to praktyka pokazuje co innego. Aż 80 proc. firm traci dane w wyniku działań pracowników – podaje Safetica.
Taka sytuacja może dotknąć każdą firmę. Z jednej strony może być skutkiem zwykłego błędu. Takiego jak przesłanie danych na błędy adres mailowy lub przypadkowe skasowanie cennych informacji. Z drugiej strony działania pracowników mogą być celowe, np. gdy przechodzą do konkurencji. Przykładem mogą być działania grupy byłych pracowników trójmiejskiej firmy spedycyjnej, którzy zmienili pracodawcę, przekazując mu informacje pomagające w przejęciu klientów z ich rodzimej organizacji. Szczególnie cennym aktywem jest własność intelektualna. Według danych Verizon Data Breach Investigations aż 70 proc. takich kradzieży odbywa się w ciągu 90 dni przed ogłoszeniem rezygnacji przez pracownika.
Bolesne skutki dla biznesu
Problem dotyczy wszystkich – począwszy od instytucji publicznych, poprzez małe i średnie przedsiębiorstwa, a skończywszy na dużych korporacjach. Przykładem tej ostatniej jest Google. Były inżynier tej firmy Anthony Levandowski złamał postanowienia podpisanej umowy o zachowaniu poufności, a cenne dane zbierał przez lata, przygotowując się do opuszczenia Google'a. Z kolei na rodzimym rynku niedawno pracownik Generalnej Dyrekcji Ochrony Środowiska skopiował dane ze skrzynek pocztowych, takie jak imiona i nazwiska, daty urodzenia, numery telefonów, wysokość wynagrodzenia, PESEL czy numer dowodu osobistego.
Utracenie danych to poważny problem, skutkujący nie tylko konsekwencjami wizerunkowymi i finansowymi, ale również potencjalnymi odszkodowaniami, utraconymi zleceniami czy wreszcie karą ze strony Generalnego Inspektora Ochrony Danych Osobowych. A chodzi o niebagatelne kwoty. Przykładem może być kara w wysokości 4,9 mln zł nałożona na jedną ze spółek energetycznych. Została ona ukarana za „niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego". Naruszenie polegało na skopiowaniu danych klientów przez nieuprawnione osoby.