Обновена на 24.09.2020 от Questo
Откъде изтичат данните, с които работят администраторите на лични данни в България?
Частичен отговор на този въпрос дава годишният доклад на Комисията за защита на лични данни. Той съдържа информация за пробиви в информационните системи и подадени жалби срещу обработка на лични данни.
През 2019 г. в КЗЛД са получени 65 сигнала от институции за изтичане на лични данни. Реалният брой на течовете вероятно е много по-голям, защото част от компаниите не съобщават за откритите пробиви. Друга част въобще не разбират, че е имало неоторизиран достъп до лични данни.
Но какво всъщност е пробив на данни? Това е всеки неразрешен достъп до конфиденциална информация, който е станал с или без знанието на служители на институцията, която обработва тези данни.
Пробивът на данни може да е резултат от хакерска атака, кражба на твърд диск или просто небрежност от страна на служител.
Всъщност (без)действията на служителите са една от основните причини за изтичане на данни. Затова в тази статия ще разгледаме някои от причините за пробивите. След това ще обърнем внимание на най-честите грешки, които служителите правят, за да предизвикат изтичане на лични данни.
Как данните изтичат от организацията?
Основните причини са външна атака, човешка грешка или злонамерен служител. Ето малко статистика.
1. В 52% от случаите данните изтичат заради външна атака
Това може да е пробив в информационните системи на институцията. Такъв беше случаят с НАП, когато слабост в системата позволи източването на лични данни от разстояние. Засегнати са данните на 6 млн. души, част от които вече не са между живите.
Основна причина за външните пробиви е липсата на политика за информационна сигурност сред институциите.
2. 40% от пробивите са заради грешка на служител
Неволните технически грешки на служители са втората най-честа причина за изтичане на данни. Пример: служителят е конфигурирал неправилно RDP достъпа до служебния си компютър; или пък паролата за служебния му мейл е залепена на стената.
Това показва необходимостта от обучения за киберсигурност сред служителите.
3. 5.1 млн. лв е най-голямата глоба за източване на лични данни
Тя е за НАП заради успешното източване на лични данни на милиони български лица.
През 2019 г. глоба от 1 млн. лв. отнесе и Банка ДСК. От банката твърдят, че с тях се свързал бивш затворник с присъда за банков обир и им казал, че притежава лични данни на клиенти на Банка ДСК.
4. 70% от пробивите са дигитални
Това означава, че източването на данните става от разстояние, по електронен път. Това отново показва необходимостта от по-добра защита на информационните системи и обучения за служителите, които работят с тях.
Останалите пробиви са физически: например откраднати документи.
5. Над 1600 жалби срещу неправомерно обработване на лични данни са подадени през 2019 г.
За две години броят на жалбите е скочил с над 300%. Най-много са жалбите срещу държавни институции (над 800), с;ледвани от жалбите срещу видеонаблюдение (102) и жалби срещу мобилни оператори (78).
6. Със 100% са се увеличили жалбите срещу медии
За 2019 броят им е 70, докато година по-рано е бил. 35. Жалбите са основно за данни на физически лица, публикувани в медиите.
Расте и броят на жалбите срещу фалшиви профили във Facebook или Google.
Жалбите срещу медии са свързани и с т.нар. право да бъдеш забравен. Вижте кои са най-цензурираните от Google медии във всяка страна в Европа, включително и България.
Кои са най-честите грешки на служителите, които могат да доведат до кражба на данни?
Служителите са най-слабото звено в информационната сигурност на една организация. Много често служителите не са инструктирани да спазват елементарни правила за киберхигиена. Това може да струва скъпо на организацията.
Нека видим кои са най-честите грешки, които могат да доведат до изтичане на данни.
1. Забравен/изгубен/откраднат служебен лаптоп
COVID-19 даде тласък на работата от разстояние. Проблемът при този модел на работа е, че създава риск от загуба или кражба на служебния лаптоп. Възможно е лаптопът да попадне в неподходящи ръце, някой да публикува данните в интернет или да ги продаде на трети лица, които да злоупотребят с тях.
2. Казвате паролата си на колеги
Случва се: колега иска достъп до служебния ви имейл и вие му казвате паролата си, за да може да влезе и да си вземе от там каквото му трябва.
Голяма грешка. Колегите ви може ви имат само добри намерения, но ноикой не трябва да знае паролата ви освен вас самите. Ако някой я използва, за да получи неоторизиран достъп до важна информация, отговорност за това носите вие.
3. Не използвате мултифакторна автентикация
Следва да имате такава дори и на служебния имейл, за да не може всеки да влиза в него.
Ако работите с други информационни системи, редно е и те да са защитени с мултифакторна автентикация.
4. Отваряте всякакви линкове и сайтове на служебния си компютър
Сайтове с игри, порнография или торенти може да съдържат зловредни файлове. Ако ги изтеглите, те може да заразят компютъра ви и други устройства в мрежата на организацията.
Ако сте мениджър, може да ограничите достъпа на служителите до такива сайтове чрез използването на правила и политики за достъп. Това става със софтуер, който определя кои служители до какво съдържание в интернет имат достъп.
5. Не използвате VPN
Казано на прост език, VPN защитава данните, с които работите, от „подслушване“. Тази технология действа като защитен слох за информацията, която тече между устройствата в организацията. Ако използвате отдалечен дсотъп до служебния си компютър, също в ие необходим VPN.