Zagrożenia i czynniki ryzyka – ochrona przed wyciekiem danych czy ochrona organizacji?
W tym artykule przeczytasz o:
- typach danych, jakie możesz spotkać w przedsiębiorstwach i instytucjach,
- zagrożeniach związanych z utratą danych wg ich typu,
- czynnikach ryzyka dla podmiotu tracącego dane.
Artykuł pozwala usystematyzować wiedzę na temat danych, co jest niezbędne przy określeniu strategii ochrony danych. Właściwa strategia ochrony (DLP) to taka, która prowadzi nie tylko do ochrony samych danych przed wyciekiem, lecz zapobiega stratom finansowym i pozafinansowym organizacji (chroni organizację).
Zobacz część I – „Obszary ochrony danych – jakie obszary należy chronić w organizacji (Część I) ?”
Uniwersalne zagrożenia i obszary ryzyka – czy istnieją?
Każda organizacja powinna indywidualnie zdefiniować swoje zagrożenia, bowiem ma inny cel biznesowy, jest na innym etapie rozwoju, dysponuje innym kapitałem i możliwościami, działa na innych rynkach z innymi produktami, posiada inną konkurencję, a także ma inną kulturę organizacyjną.
Są oczywiście główne – uniwersalne – typy danych, obszary ryzyka z nimi związane i skutki ich utraty. Dla jednego podmiotu utrata bazy klientów nie będzie problemem typu „być albo nie być”, a dla innego – może nawet prowadzić do zaprzestania funkcjonowania.
O rodzaju danych chronionych, sposobie realizacji ochrony powinni decydować wszyscy zaangażowani w organizację gracze – kierownictwo, pracownicy, audytorzy i partnerzy wspierający.
Poniższa tabela ma charakter ogólny, wskazuje typy danych, zagrożenia z nimi związane oraz skutki, jakie mogą wystąpić w przypadku ich utraty.
| Typ danych | Przykład | Zagrożenia | Czynniki ryzyka |
|---|---|---|---|
| Własność intelektualna/prawa | Projekty techniczne Receptury Dokumentacja patentowa Kody źródłowe Niepatentowana wiedza techniczna Patenty w przygotowaniu lub na etapie badania Wzory użytkowe i znaki towarowe Tajemnica przedsiębiorstwa |
Konkurencja Niezadowoleni pracownicy |
Utrata dobrego imienia Utrata przewagi konkurencyjnej |
| Dane produktów własnych | Projekty techniczne Badania i testy bezpieczeństwa Zalecenia technologiczne Strategie rozwoju |
Klienci Konkurencja |
Możliwość złamania zabezpieczeń u użytkowników produktów własnych Utrata bezpieczeństwa przez klientów Utrata przewagi konkurencyjnej Bankructwo |
| Strategie | Plany strategiczne Plany sprzedaży Plany inwestycyjne, w tym plany przejęć i fuzji Badania produktów Badania rynku Projekty przekazów prasowych |
Konkurencja | Utrata przewagi konkurencyjnej Utrata wiarygodności |
| Dokumenty prawne | Dokumentacje dotyczące następujących obszarów: • postępowania sądowe, • postępowania przedsądowe, • ugody, umowy, porozumienia, • kontrole wewnętrzne, • prezentacje wewnętrzne, • ład korporacyjny. |
Konkurencja Przeciwnicy w sprawach sądowych |
Utrata przewagi w postępowaniach sądowych |
| Sprzedaż | Ceny i koszty sprzedaży Dostawcy i umowy Klienci i ich charakterystyka Potencjalni klienci i ich potrzeby Analityka sprzedaży i prognozy sprzedaży Polityka sprzedażowa, rabaty Otrzymane zamówienia |
Konkurencja Niezadowoleni pracownicy |
Wykorzystywanie informacji poufnych Kosztowny „efekt lidera/innowatora” Sankcje za wyciek danych |
| Dane klientów | Lista klientów Ceny dla klientów (polityka cenowa) Ilości klientów w poszczególnych grupach Charakterystyka klientów Preferencje klientów Oferty sprzedaży dla klientów Umowy, szczegóły umów, warunki kredytowania klientów Statusy płatności Historia kontaktów (CRM) Historia zakupów |
Konkurencja Wierzyciele |
Utrata klientów Spadek sprzedaży i rentowności Możliwość łatwiejszego przejęcia przedsiębiorstwa |
| Marketing | Plany działań marketingowych Plany rozwoju produktów Plany operacyjne Prognozy |
Konkurencja | Utrata udziału w rynku Kosztowny efekt lidera i innowatora |
| Finanse | Przedwczesne publikacje danych finansowych Wyciągi bankowe Sprawozdania i okresowe raporty finansowe Wynagrodzenia pracowników Koszty działalności |
Konkurencja | Utrata przewagi konkurencyjnej |
| Kadry | Listy pracowników Struktura organizacyjna wraz z zakresem obowiązków Schematy raportowania wewnętrznego Wynagrodzenia |
Konkurencja | Utrata pracowników Frustracja pracowników |
| Dokumentacja operacyjna i procesowa | Dokumentacje procesów i procedur Komunikacja wewnętrzna Strategie efektywności i zwiększania przewagi konkurencyjnej |
Konkurencja | Konkurencja optymalizuje swoje procesy i staje się bardziej efektywna przy niższych kosztach |
| Dane osobowe | Imiona i nazwisko Data i miejsce urodzenia Numer dowodu i PESEL Numer paszportu Numer prawa jazdy Loginy i hasła Dane biometryczne Zaświadczenia o zarobkach i inne dokumenty związane ze statusem finansowym pracownika Dokumentacja zdrowotna i inne osobiste informacje pracownika Preferencje pracownika zgromadzone w celu monitorowania procesów bezpieczeństwa IT |
Hakerzy Przestępcy Organizacje przestępcze |
Oszustwo Kradzież środków finansowych Utrata zdolności kredytowej Utrata wiarygodności pracownika Niezadowolenie pracowników Zagrożenie dla pracowników i ich rodzin |
| Pozostałe dane wewnętrzne | Numery rachunków bankowych Numery służbowych kart kredytowych Linie i wnioski kredytowe Postępowania administracyjne Numery rejestracyjne floty samochodowej Struktura demograficzna pracowników |
Hakerzy Przestępcy Organizacje przestępcze Konkurencja |
Ogólne zagrożenie dla organizacji |
| Zabezpieczenia teleinformatyczne | Polityka bezpieczeństwa Zabezpieczenia fizyczne, techniczne, organizacyjne Konfiguracja sieci i systemów IT Świadomość pracowników Przeprowadzone szkolenia z bezpieczeństwa Logi systemów operacyjnych Logi systemów DLP Konfiguracje polityk i reguł bezpieczeństwa DLP |
Pracownicy Niezadowoleni pracownicy Podmioty współpracujące Podmioty przetwarzające Operatorzy usług chmurowych Operatorzy telekomunikacyjni |
Utrata danych Utrata pracowników Utrata kontrahentów Utrata wizerunku Utrata wiarygodności Zaprzestanie działalności |
| Technologia informacyjna | Inwentaryzacja zasobów IT – komputery, sieci, urządzenia sieciowe, urządzenia drukujące, pendrive’y itp. Oprogramowanie Diagramy sieci firmowych MS Active Directory Pliki konfiguracyjne (sieci, systemy, aplikacje, bazy danych itp.) Loginy i hasła, polityki zmiany haseł Dostępy VPN Kluczowe pliki z danymi Pliki z zawartością loginów i haseł Pliki poczty elektronicznej Pliki narzędziowe działów IT (adresy IP, konfiguracje komputerów, oprogramowanie, aktualizacje) Systemy helpdeskowe Kod źródłowy oprogramowania |
Hakerzy Złośliwe oprogramowanie Niezadowoleni pracownicy |
Utrata poufności, integralności, dostępności danych Utrata wizerunku i pozycji firmy |
Przykład nr 1 – Błędy producenta oprogramowania przyczyną wycieku danych
Firma informatyczna produkuje oprogramowanie kadrowo-płacowe, które następnie wdraża u swoich klientów. W oprogramowaniu istnieje nieujawniony publicznie błąd.
Ujawnienie (publiczne, hakerom, konkurencji) przez pracowników firmy (niezadowolony lub były pracownik) informacji o błędzie powoduje powstanie wysokiego ryzyka utraty danych osobowych u klientów firmy informatycznej, co w konsekwencji może doprowadzić do utraty wiarygodności, spadku sprzedaży (wpływów), odejścia klientów do konkurencji, a docelowo – nawet do bankructwa.
Przykład nr 2 – Kradzież danych przez byłych pracowników
Podmiot sprzedaje energię elektryczną. Klientów obsługuje liczny zespół handlowców. Rotacja pracowników jest stosunkowo duża. Brak odpowiednich narzędzi (nawet takich, które jedynie istnieją w świadomości pracowników, ale niekoniecznie działają), prowadzi do „sprzedawania rekordów danych” konkurentom. Odchodzący pracownicy zabierają ze sobą szczegółowe warunki zawartych umów, a także wiedzę dotyczącą tego, kiedy umowy się kończą, jakie są stawki, upusty oraz warunki płatności.
Sytuacja prowadzi do znaczącej utraty przewagi konkurencyjnej, spadku sprzedaży, utraty klientów.
Przykład nr 3 – Wyciek danych z monitoringu pracowników
Urząd posiada zaawansowane systemy (programowe) służące do monitoringu pracowników. Dostęp do systemów posiadają młodzi, niedoświadczeni pracownicy. Przez nieuwagę lub brak świadomości udostępniają osobom spoza organizacji historię odwiedzanych przez pracowników stron internetowych.
Historię odwiedzanych stron wykorzystują hakerzy do zmasowanego ataku typu ransomware, w wyniku czego paraliżują część organizacji. Część danych ulega bezpowrotnej utracie.
Sytuacja prowadzi do wewnętrznego niezadowolenia pracowników, niepewności, spowolnienia działania, strat finansowych, spadku jakości, wzrostu kosztów i nakładów inwestycyjnych.
Przykład nr 4 – „Życzliwość” byłego pracownika i przekazanie informacji konkurencji
Pracownik działu IT – z uwagi na nieuzyskanie urlopu w planowanym terminie – rezygnuje z pracy. Podczas rozstania dochodzi do eskalacji konfliktu. Pracownik informuje konkurencję o posiadanym przez byłego pracodawcę nielegalnym oprogramowaniu. Konkurencja grzecznościowo zawiadamia producenta oprogramowania (podmiot autorskich praw majątkowych) o wystąpieniu nielegalnego oprogramowania. Producent zawiadamia organy ścigania. Do firmy wkracza policja i zabezpiecza kilkadziesiąt stanowisk komputerowych. Firma przestaje funkcjonować w kilku kluczowych obszarach. Na skutek publikacji prasowych traci klientów zagranicznych, wartość giełdowa spada, pracownicy czują się niekomfortowo, dział IT odchodzi, a zarząd właśnie się dowiedział, że to on odpowiada za nielegalne oprogramowanie.