Archiwa blogu

Wyciek danych – i co dalej?

Obecnie, przy stale rosnącej ilości informacji i niezwykle szybkim tempie ich przepływu, o wyciek danych jest łatwo jak nigdy dotąd. Dochodzi do tego właściwie wszędzie, niezależnie od branży i wielkości firmy czy instytucji. Co robić, gdy z naszej firmowej bazy wyciekną dane? Czy mamy opracowany awaryjny plan działania? Czy potrafimy rzetelnie informować o incydencie, jego skutkach i podejmowanych działaniach naprawczych? Jak wyjść z twarzą z tej trudnej sytuacji, jak odpowiednio nią zarządzać i jak ograniczyć jej negatywne skutki radzi Konrad Gałaj-Emiliańczyk z ODO 24.

 

Nadzór nad bezpieczeństwem

 

Po pierwsze, profilaktyka. Zadbajmy o to, by w naszych firmach, organizacjach, instytucjach pracowały osoby kompetentne i odpowiedzialne. W szczególności powinniśmy zwrócić uwagę na osoby bezpośrednio odpowiedzialne za ochronę przetwarzanych danych – administratorów bezpieczeństwa informacji (ABI), administratorów systemów informatycznych (ASI), pełnomocników ds. informacji niejawnych czy, w sektorze finansowym, compliance oficerów. Wszystkie te osoby mają za zadanie ograniczenie ryzyka wystąpienia incydentów, ale również, o czym często zapominamy, zarządzanie ryzykiem oraz samymi incydentami. Dobór niewłaściwych osób lub ograniczanie ich uprawnień w sytuacjach kryzysowych powoduje najczęściej ogromny chaos i straty wizerunkowe.

 

Procedury alarmowe

 

Po drugie, procedury. Często niedoceniane, lekceważone i nielubiane, ale jak się okazuje (najczęściej po fakcie!), bardzo przydatne. Procedury to nic innego jak wewnętrzne regulacje, opisujące sposób postępowania w poszczególnych sytuacjach. W naszym przypadku to opis postępowania z dokumentami, elektronicznymi nośnikami danych, dostępem do internetu czy poczty elektronicznej. Ich wdrożenie i przestrzeganie, znacznie ogranicza ryzyko wycieku danych. Właściwie skonstruowana procedura ochrony danych powinna zawierać również tzw. instrukcję alarmową, określającą zasady postępowania na wypadek zaistnienia incydentu. Dzięki takiej instrukcji unikamy zaskoczenia i organizacyjnego chaosu. Każda z osób zajmujących się przetwarzaniem danych doskonale wie, jak ma się w danej sytuacji zachować, do kogo zwrócić, komu i jakich informacji udzielić. Opracowując procedury pamiętajmy, aby były one możliwie najbardziej intuicyjne.

 

Sprawna komunikacja

 

Po trzecie, szybka i spójna komunikacja. Znacznie pomoże w tym wspomniana powyżej instrukcja alarmowa. Osoba, która dowiaduje się o wycieku danych lub jest jego sprawcą (nieumyślnym) powinna jak najszybciej powiadomić o incydencie administratora bezpieczeństwa informacji (ABI). Po otrzymaniu zgłoszenia ABI ma za zadanie jak najszybsze ograniczenie wycieku lub niedopuszczenie do jego eskalacji. Dopiero w dalszej kolejności przychodzi czas na ustalenie faktów – co i dlaczego się stało? kto zawinił? jak zapobiegać takim zdarzeniom w przyszłości? Na ich podstawie ABI opracowuje odpowiedni protokół ze zdarzenia i przekazuje go przełożonym. Ujawnienie informacji o incydencie współpracownikom czy, w szczególnych przypadkach, wydanie na ten temat publicznego oświadczenia, jest ostatnim z elementów działania kryzysowego. Wyjątkiem jest oczywiście sytuacja, gdy mamy do czynienia z dużym wyciekiem danych i media dowiedzą się o nim wcześniej (niestety, czasem nawet wcześniej niż przedstawiciele firmy). Warto wówczas po prostu poinformować media o tym, że pracujemy nad opanowaniem i wyjaśnieniem sytuacji. Zdecydowanie odradzamy uciekanie się do stwierdzeń typu „bez komentarza”! Po zbadaniu sytuacji można już wydać stosowne, szersze oświadczenie i odpowiedzieć na ewentualne pytania. Najczęściej takie oświadczenie wydaje rzecznik prasowy lub pełnomocnik zarządu. Bardzo ważne, by zostało oni wcześniej wewnętrznie uzgodnione z zarządem, administratorem bezpieczeństwa informacji, a także innymi osobami zaangażowanymi w sytuację.

 

Spójne oświadczenie

 

Po czwarte, właściwy sposób informowania o incydentach. Przede wszystkim pamiętajmy o tym, aby wyznaczyć jedną osobę odpowiedzialną za składanie oświadczeń w imieniu naszej organizacji. O tym, kto to będzie i jak wobec tego powinni się zachowywać pozostali pracownicy, warto wyraźnie poinformować w instrukcji alarmowej. Ważną rolę mogą tu również odegrać stosowne klauzule o poufności, podpisywane przez poszczególnych pracowników. Niestety, w praktyce często dochodzi do sytuacji gdy wydawanych jest kilka następujących po sobie oświadczeń, niekiedy nawet ze sobą sprzecznych. Co więcej, w komunikacji pojawiają się również informacje i komentarze bezrefleksyjnie zamieszczane przez poszczególnych pracowników na portalach społecznościowych. To najprostsza droga do informacyjnego chaosu i eskalacji sytuacji kryzysowej! Pamiętajmy, że właściwie skonstruowane oświadczenie i rzetelne informowanie o podejmowanych działaniach naprawczych, jest w stanie uratować dobre imię podmiotu nawet w naprawdę trudnych sytuacjach.

 

***

 

Niestety, nie ma dziś fizycznej możliwości zagwarantowania stuprocentowego bezpieczeństwa przetwarzanym danym i informacjom. Można się jednak odpowiednio przygotować na wypadek wystąpienia różnego typu incydentów. Poza teorią, warto przy tym pomyśleć również o praktyce. Podobnie jak w przypadku testowych alarmów przeciwpożarowych, pracownicy mogą być poddawani testowym alarmom w zakresie bezpieczeństwa informacji. Sprawdzenie funkcjonowania instrukcji alarmowej w praktyce, pozwoli nam stwierdzić, czy instrukcja faktycznie działa, czy też może należy ją poprawić. Zdarza się, że takie testowe działania budzą pewne wątpliwości – odrywają pracowników od ich obowiązków, zajmują czas, itp. Niemniej, w trosce o wizerunek własnego przedsiębiorstwa i marki, warto poświęcić im nieco czasu. Pamiętajmy, że dobre imię i wiarygodność bardzo łatwo jest stracić. Dużo trudniej – odzyskać.

 

Konrad Gałaj-Emiliańczyk

Ekspert ds. danych osobowych ODO 24

Źródło: ODO 24

Mądry Polak przed szkodą, czyli warto ubezpieczyć mieszkanie zawczasu

Mieszkanie jest miejscem, w którym chcemy czuć się bezpiecznie. Jedni otrzymują je w spadku, inni natomiast pracują na nie długie lata. I chociaż coraz więcej osób zdaje sobie sprawę, jak ważna jest ochrona cennego dorobku, niestety nadal co trzecia nieruchomość mieszkaniowa w Polsce nie jest objęta ubezpieczeniem[1]. Tymczasem sytuacje losowe takie jak włamania, kradzieże czy awarie instalacji wodociągowych mogą dotknąć każdego z nas. Ekspert Expandera radzi, aby w odpowiedni sposób zabezpieczyć się finansowo na wypadek nieprzewidzianych zdarzeń. Dzięki temu polisa zagwarantuje wypłatę świadczenia w trudnych chwilach.

 

Decydując się na zakup ubezpieczenia nieruchomości zazwyczaj uważamy, że przedmiot ochrony jest oczywisty. Warto jednak wiedzieć, że w Ogólnych Warunkach Ubezpieczenia (OWU) pojęcie mieszkania jest dokładnie zdefiniowane.

 

Towarzystwa ubezpieczeniowe najczęściej obejmują ochroną mieszkanie do którego ubezpieczony posiada prawo własności lub posiada własnościowe spółdzielcze prawo do tego lokalu. Ponadto w przypadku ubezpieczenia nieruchomości o charakterze mieszkalnym, przedmiotem ubezpieczenia mogą być również pomieszczenia gospodarcze, pomieszczenia przynależne do lokalu, garaże lub miejsca postojowe (które mogą być użytkowane wyłącznie przez ubezpieczonego i jego osoby bliskie) wraz z ich stałymi elementami. Dodatkowo polisa może również dotyczyć mienia ruchomego będącego własnością ubezpieczającego, np. meble, sprzęt RTV i AGD, dzieła sztuki, rowery czy sprzęt turystyczny. Ponieważ ubezpieczyciele oferują zróżnicowany zakres usług, należy dokładnie zapoznać się z treścią OWU, aby mieć pewność czy ochrona będzie obejmować także przedmioty szczególnie dla nas ważne.

 

W podstawowym pakiecie ubezpieczenie zabezpiecza finansowo przed finansowymi konsekwencjami zdarzeń losowych w naszym mieszkaniu. Dodatkowo można je również ubezpieczyć przed kradzieżą, kradzieżą z włamaniem, rabunkiem czy dewastacją. Niektóre produkty posiadają też możliwość ochrony OC, co jest szczególnie przydatne, gdy wyrządzimy szkodę sąsiadowi, np. zalewając jego lokal.

 

Do tzw. zdarzeń losowych, mogących zagrozić naszemu „M”, w OWU wymienia się najczęściej: pożar, huragan, uderzenie pioruna, grad, uderzenia statku powietrznego, deszcz nawalny, zapadanie i osuwanie się ziemi oraz zalanie. Większość towarzystw ubezpieczeniowych bierze pod uwagę wszystkie z tych zagrożeń. Istnieje jednak też możliwość wyłączenia grupy, bądź pojedynczego, ryzyka dla konkretnej nieruchomości. Dla przykładu, nie wszyscy ubezpieczyciele podejmą się ubezpieczenia domu na terenie zalewowym lub nie zapewnią ochrony od uderzenia pojazdu mechanicznego, jeśli dom będzie stał przy wyjątkowo niebezpiecznym zakręcie. Oczywiście należy również pamiętać, ze polisa ubezpieczeniowa nie obejmie szkód wyrządzonych wskutek umyślnego działania, zaniechania lub rażącego zaniedbania ubezpieczającego oraz osób mu bliskich.

 

Mieszkanie (lub dom) i jego wyposażenie są przeważnie odzwierciedleniem życiowego dorobku. Na co dzień jednak nie dostrzegamy niebezpieczeństw jakie mogą mu grozić. Zwykle dzieje się tak do pierwszej zaistniałej szkody. Dopiero wtedy przychodzi czas na refleksję i wizytę u agenta ubezpieczeniowego. Aby uniknąć niemiłych niespodzianek, należy zabezpieczyć nieruchomość zawczasu. Przy podejmowaniu tej ważnej decyzji warto skorzystać z bezpłatnej porady profesjonalnego doradcy, który odpowie na wszystkie nurtujące pytania i pomoże wybrać taką polisę, która zapewni realną ochronę.

 

Michał Piestrzyński

Specjalista ds. Produktów Inwestycyjnych i Ubezpieczeniowych

Expander Advisors

 

 

[1]Za DGP (wyd. z dn. 24.07.2014) na podst. danych KNF i GUS.

Bezpieczne hasła – to wcale nie musi być trudne

Internet jest obecnie wykorzystywany w szerokim spektrum aktywności, łącznie z bankowością, zakupami, wyszukiwaniem informacji, a także do nawiązywania i podtrzymywania znajomości. Większość serwisów online wymaga logowania, a do tego potrzebne są hasła. Eksperci z Kaspersky Lab radzą, jak zadbać o to, by były wystarczająco silne, i jak można je bezpiecznie przechowywać.

W ciągu ostatnich kilku lat nastąpił gwałtowny wzrost popularności portali społecznościowych, takich jak Facebook, Twitter itp., których użytkownicy mogą dzielić się wszelkimi informacjami, nawet tymi najbardziej poufnymi. Niestety, im więcej osobistych informacji znajduje się w Sieci, tym łatwiej o kradzież tożsamości. Dochodzi do niej, gdy cyberprzestępca ukradnie dane osobowe, co pozwala mu realizować szereg szkodliwych działań w imieniu oryginalnego właściciela danego konta. Korzystając ze skradzionych informacji, atakujący może np. otworzyć konto bankowe, uzyskać kartę kredytową lub ubiegać się o paszport. Cyberprzestępca może także po prostu ukraść pieniądze bezpośrednio z konta bankowego ofiary.

 

Ponieważ hasła chronią nasze najcenniejsze dane, musimy sobie zdawać sprawę z tego, jak ważne są te ciągi znaków. Powinniśmy tworzyć je z rozwagą i korzystać przy tym z najlepszych standardów. To samo dotyczy przechowywania haseł.

Stworzenie dobrego hasła pozwala na zminimalizowanie ryzyka stania się ofiarą cyberprzestępców. I mimo że sprawa jest poważna, to wcale nie musi być trudna. Eksperci z Kaspersky Lab przygotowali kilka porad, które pozwolą każdemu użytkownikowi tworzyć silne hasła i bezpiecznie je przechowywać.

 

Jak stworzyć silne hasło

  • Twórz hasła, które możesz łatwo zapamiętać – dzięki temu nie będziesz musiał zapisywać ich na kartce lub w pliku na dysku komputera (pamiętaj – taki plik może zostać ukradziony przez cyberprzestępców).
  • Nie twórz haseł, które są oczywiste i można je z łatwością odgadnąć, takich jak Twoje imię, kod pocztowy lub nazwa Twojej miejscowości, ulubiony zespół itp.
  • Nie używaj słów, które z łatwością można znaleźć w słowniku.
  • Używaj kombinacji małych i wielkich liter, cyfr oraz znaków specjalnych (takich jak @, # czy $).
  • Nie stosuj recyklingu haseł – nie używaj do poszczególnych serwisów takich fraz jak hasło1, hasło2, hasło3 itd.
  • Jeżeli jest to możliwe, używaj całych fraz zamiast pojedynczych słów.
  • Nigdy nie używaj tego samego hasła do kilku kont. Jeżeli cyberprzestępca wejdzie w posiadanie takiego hasła, automatycznie będzie miał możliwość włamania się do wszystkich zabezpieczonych nim zasobów online.

Jak bezpiecznie przechowywać hasła

  • Nikomu nie zdradzaj swojego hasła. Jeżeli jakakolwiek organizacja kontaktuje się z Tobą i prosi o jego podanie, nawet przez telefon, nie rób tego. To samo dotyczy jakichkolwiek danych osobowych. Pamiętaj – nigdy nie wiesz, kto jest po drugiej stronie ekranu lub linii telefonicznej.
  • Jeżeli sklep lub jakikolwiek inny serwis online wysyła Ci e-maila z informacją o nowym haśle, natychmiast zaloguj się i zmień to hasło. Najprawdopodobniej ktoś wszedł w posiadanie Twoich danych logowania i próbuje przejąć kontrolę nad kontem.
  • Upewnij się, że Twoje oprogramowanie antywirusowe blokuje próby przechwytywania lub kradzieży haseł.
  • Jeżeli nie potrafisz zapamiętać wielu złożonych haseł, skorzystaj z menedżera haseł, który zrobi to za Ciebie i przechowa wszystkie informacje w sposób bezpieczny. Dodatkowo, menedżer haseł pozwoli na automatycznie generowanie silnych haseł i umożliwi automatyczne logowanie w serwisach online.

Źródło: Kaspersky Lab