Materiał we współpracy z Dagma Bezpieczeństwo IT i Safetica

Ogromna liczba naruszeń świadczy o tym, że firmy wciąż za słabo chronią swoje cyfrowe zasoby. Badanie przeprowadzone na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów wykazało, że zwłaszcza przedsiębiorstwa z sektora MŚP nieodpowiednio zabezpieczają dane, 49 proc. z nich przekazuje je do zewnętrznych biur rachunkowych i aż 45 proc. obawia się, że mogą one zostać skradzione.

Niedostateczna ochrona danych sprawia, że firmy stoją w obliczu wysokich kar za wycieki danych wynikające z braku zabezpieczeń. Pomimo iż regulacje RODO obowiązują już od sześciu lat, to według raportu ESET i DAGMA Bezpieczeństwo IT „Cyberportret polskiego biznesu”, aż 32 proc. firm nie jest pewnych, czy odpowiednio dostosowały się do tych przepisów. Może to prowadzić do poważnych kłopotów, bo kary za wycieki danych osobowych wynikające z ich nieodpowiedniej ochrony są dotkliwe. W 2024 roku prezes Urzędu Ochrony Danych Osobowych (PUODO) nałożył kilka bardzo wysokich kar na firmy, które niewłaściwie zabezpieczyły dane osobowe. Kara dla spółki medycznej American Heart of Poland SA wyniosła 1,5 mln zł za wyciek danych 21 tys. osób. Santander Bank Polska SA za brak zgłoszenia naruszenia ochrony danych musi zapłacić 1,4 mln zł, a firma gastronomiczna Res-Gastro M. Gaweł z Kolbuszowej, w której pracownik zgubił pnedrive’a z danymi osobowymi – 240 tys. zł.

Już za chwilę wiele podmiotów w Polsce, z 18 różnych sektorów, będzie musiało sprostać także wymogom bezpieczeństwa określonym przez dyrektywę NIS2, której celem jest wzmocnienie cyberbezpieczeństwa w Unii Europejskiej. Dyrektywa weszła w życie 16 stycznia 2023 r., a 18 października 2024 r. mija termin jej transpozycji do krajowego porządku prawnego.

W przypadku NIS2 kary za nieprzestrzeganie regulacji wyniosą do 10 mln euro dla kluczowych podmiotów lub do 2 proc. ich całkowitego rocznego obrotu oraz 7 mln euro lub 1,4 proc. rocznego obrotu w przypadku  podmiotów ważnych. Warto zatem już dziś zadbać o to, by wdrożyć odpowiednie narzędzia i upowszechniać dobre praktyki, które podniosą poziom cyberbezpieczeństwa i zapewnią zgodność z regulacjami chroniącymi dane.

Wzmocnienie ochrony danych jest konieczne

Ochrona danych powinna stać na czele firmowych priorytetów, ponieważ wciąż rośnie liczba naruszeń. Jak podaje raport „Cyberportret polskiego biznesu”, ponad 20 proc. badanych pracowników polskich firm przyznaje, że padli ofiarą cyberataku w miejscu pracy. Co trzeci ankietowany ekspert ds. cyberbezpieczeństwa obawia się strat finansowych firmy w efekcie cyberataku, a co piąty boi się pogorszenia reputacji marki i spadku zaufania klientów.

Niepokojące jest to, że znaczna część cyberataków wcale nie pochodzi z zewnątrz, ale z wewnątrz organizacji. Wynikają one zarówno z przeoczeń i błędów, jak i z przechytrzenia pracownika przez cyberprzestępców z wykorzystaniem inżynierii społecznej.

Przedsiębiorstwa często bardzo długo nie zdają sobie sprawy, że nastąpiło jakieś naruszenie danych. Jak podaje IBM Cost of a Data Breach Report 2023, czas od wycieku do jego wykrycia wynosi średnio na świecie 204 dni. Dlatego każda, nawet najmniejsza organizacja powinna posiadać strategię ochrony danych obejmującą m.in.: audyt, który dostarczy informacji na temat posiadanych danych i miejsc ich przechowywania; określenie polityki dostępu do danych wrażliwych; edukację pracowników w dziedzinie bezpieczeństwa danych oraz ryzyk związanych z ich niewłaściwym wykorzystaniem; monitorowanie pracowników, by nie wynosili danych poza organizację; kontrolę nad wszystkimi nośnikami danych w firmie i dopuszczenie jedynie urządzeń autoryzowanych.

Rola DLP w strategii cyberbezpieczeństwa

Papierowe polityki bezpieczeństwa mogą jednak okazać się niewystarczające wobec skomplikowania środowisk IT oraz różnorodności ataków i kierunków, z jakich przychodzą. Dlatego coraz więcej organizacji wdraża rozwiązania DLP (Data Loss Prevention), które działają w tle całego środowiska IT, w tym środowisk chmurowych, zabezpieczając organizację przed wyciekiem danych. – System DLP Safetica może być wdrożony zarówno w środowisku AWS, jak i Microsoft Azure, technologicznie jest to niezwykle proste. Planowane jest też wsparcie chmury Google – wyjaśnia Dawid Dziobek, ekspert ds. cyberbezpieczeństwa, DAGMA Bezpieczeństwo IT.

W dobie rosnących cyberzagrożeń i coraz surowszych regulacji ochrona danych z wykorzystaniem DLP staje się strategiczną koniecznością, zwłaszcza w firmach przetwarzających duże ilości danych wrażliwych. Dlatego zapotrzebowanie na takie systemy stale rośnie. Według AI Multiple Research przychody z rynku DLP wzrosną z 1,24 mld USD w 2019 r. do 3,5 mld dol. do 2025 r.

Dzięki DLP firmy mogą skutecznie zapobiegać wyciekom informacji, minimalizując ryzyko naruszeń bezpieczeństwa oraz wynikających z nich konsekwencji prawnych i finansowych. – Safetica jest zaprojektowana tak, aby dynamicznie dostosowywać się do bieżących oraz przyszłych zmian w przepisach dotyczących ochrony danych. Wbudowana funkcjonalność klasyfikacji danych  umożliwia firmom bieżące monitorowanie i zarządzanie informacjami w sposób zgodny z istniejącymi już regulacjami, takimi jak RODO, HIPAA, ISO/IEC 27001, czy nadchodzące wymagania takie jak DORA oraz NIS2. Dzięki skalowalności i elastyczności DLP firmy mogą skutecznie chronić swoje dane, niezależnie od tego, jak rozwijają się regulacje w tej dziedzinie – mówi Dawid Dziobek.

Rozwiązania DLP monitorują przepływ informacji, co sprawia, że dane wrażliwe nie opuszczają firmy w niekontrolowany sposób. Identyfikuje wszelkie próby wysłania poufnych danych na zewnątrz, chroniąc organizacje przed wyciekami danych spowodowanymi przez pracowników celowo oraz przed przypadkowymi wyciekami.

System sprzyja także edukacji pracowników, ucząc ich dobrych praktyk, dzięki uświadamianiu, jakich operacji nie wolno wykonywać ze względu na zagrożenie dla danych.

Na przykład kiedy pracownik dołączy do wiadomości e-mail plik zawierający poufne dane czy wykona inną, ryzykowną operację, otrzyma od Safetica komunikat o incydencie bezpieczeństwa.

Jak spełnić wytyczne RODO?

Dowiedz się, czym jest RODO, i poznaj wyzwania, z którymi musisz się zmierzyć, aby Twoja organizacja spełniła wymagania ustawy. Sprawdź także, jakie obszary wymagają poprawy w kontekście zgodności z RODO, i poznaj realne przykłady z innych biznesów.

https://safetica.pl/rodo-v3

Materiał we współpracy z Dagma Bezpieczeństwo IT i Safetica