Archiwa blogu

Wyciek danych – i co dalej?

Obecnie, przy stale rosnącej ilości informacji i niezwykle szybkim tempie ich przepływu, o wyciek danych jest łatwo jak nigdy dotąd. Dochodzi do tego właściwie wszędzie, niezależnie od branży i wielkości firmy czy instytucji. Co robić, gdy z naszej firmowej bazy wyciekną dane? Czy mamy opracowany awaryjny plan działania? Czy potrafimy rzetelnie informować o incydencie, jego skutkach i podejmowanych działaniach naprawczych? Jak wyjść z twarzą z tej trudnej sytuacji, jak odpowiednio nią zarządzać i jak ograniczyć jej negatywne skutki radzi Konrad Gałaj-Emiliańczyk z ODO 24.

 

Nadzór nad bezpieczeństwem

 

Po pierwsze, profilaktyka. Zadbajmy o to, by w naszych firmach, organizacjach, instytucjach pracowały osoby kompetentne i odpowiedzialne. W szczególności powinniśmy zwrócić uwagę na osoby bezpośrednio odpowiedzialne za ochronę przetwarzanych danych – administratorów bezpieczeństwa informacji (ABI), administratorów systemów informatycznych (ASI), pełnomocników ds. informacji niejawnych czy, w sektorze finansowym, compliance oficerów. Wszystkie te osoby mają za zadanie ograniczenie ryzyka wystąpienia incydentów, ale również, o czym często zapominamy, zarządzanie ryzykiem oraz samymi incydentami. Dobór niewłaściwych osób lub ograniczanie ich uprawnień w sytuacjach kryzysowych powoduje najczęściej ogromny chaos i straty wizerunkowe.

 

Procedury alarmowe

 

Po drugie, procedury. Często niedoceniane, lekceważone i nielubiane, ale jak się okazuje (najczęściej po fakcie!), bardzo przydatne. Procedury to nic innego jak wewnętrzne regulacje, opisujące sposób postępowania w poszczególnych sytuacjach. W naszym przypadku to opis postępowania z dokumentami, elektronicznymi nośnikami danych, dostępem do internetu czy poczty elektronicznej. Ich wdrożenie i przestrzeganie, znacznie ogranicza ryzyko wycieku danych. Właściwie skonstruowana procedura ochrony danych powinna zawierać również tzw. instrukcję alarmową, określającą zasady postępowania na wypadek zaistnienia incydentu. Dzięki takiej instrukcji unikamy zaskoczenia i organizacyjnego chaosu. Każda z osób zajmujących się przetwarzaniem danych doskonale wie, jak ma się w danej sytuacji zachować, do kogo zwrócić, komu i jakich informacji udzielić. Opracowując procedury pamiętajmy, aby były one możliwie najbardziej intuicyjne.

 

Sprawna komunikacja

 

Po trzecie, szybka i spójna komunikacja. Znacznie pomoże w tym wspomniana powyżej instrukcja alarmowa. Osoba, która dowiaduje się o wycieku danych lub jest jego sprawcą (nieumyślnym) powinna jak najszybciej powiadomić o incydencie administratora bezpieczeństwa informacji (ABI). Po otrzymaniu zgłoszenia ABI ma za zadanie jak najszybsze ograniczenie wycieku lub niedopuszczenie do jego eskalacji. Dopiero w dalszej kolejności przychodzi czas na ustalenie faktów – co i dlaczego się stało? kto zawinił? jak zapobiegać takim zdarzeniom w przyszłości? Na ich podstawie ABI opracowuje odpowiedni protokół ze zdarzenia i przekazuje go przełożonym. Ujawnienie informacji o incydencie współpracownikom czy, w szczególnych przypadkach, wydanie na ten temat publicznego oświadczenia, jest ostatnim z elementów działania kryzysowego. Wyjątkiem jest oczywiście sytuacja, gdy mamy do czynienia z dużym wyciekiem danych i media dowiedzą się o nim wcześniej (niestety, czasem nawet wcześniej niż przedstawiciele firmy). Warto wówczas po prostu poinformować media o tym, że pracujemy nad opanowaniem i wyjaśnieniem sytuacji. Zdecydowanie odradzamy uciekanie się do stwierdzeń typu „bez komentarza”! Po zbadaniu sytuacji można już wydać stosowne, szersze oświadczenie i odpowiedzieć na ewentualne pytania. Najczęściej takie oświadczenie wydaje rzecznik prasowy lub pełnomocnik zarządu. Bardzo ważne, by zostało oni wcześniej wewnętrznie uzgodnione z zarządem, administratorem bezpieczeństwa informacji, a także innymi osobami zaangażowanymi w sytuację.

 

Spójne oświadczenie

 

Po czwarte, właściwy sposób informowania o incydentach. Przede wszystkim pamiętajmy o tym, aby wyznaczyć jedną osobę odpowiedzialną za składanie oświadczeń w imieniu naszej organizacji. O tym, kto to będzie i jak wobec tego powinni się zachowywać pozostali pracownicy, warto wyraźnie poinformować w instrukcji alarmowej. Ważną rolę mogą tu również odegrać stosowne klauzule o poufności, podpisywane przez poszczególnych pracowników. Niestety, w praktyce często dochodzi do sytuacji gdy wydawanych jest kilka następujących po sobie oświadczeń, niekiedy nawet ze sobą sprzecznych. Co więcej, w komunikacji pojawiają się również informacje i komentarze bezrefleksyjnie zamieszczane przez poszczególnych pracowników na portalach społecznościowych. To najprostsza droga do informacyjnego chaosu i eskalacji sytuacji kryzysowej! Pamiętajmy, że właściwie skonstruowane oświadczenie i rzetelne informowanie o podejmowanych działaniach naprawczych, jest w stanie uratować dobre imię podmiotu nawet w naprawdę trudnych sytuacjach.

 

***

 

Niestety, nie ma dziś fizycznej możliwości zagwarantowania stuprocentowego bezpieczeństwa przetwarzanym danym i informacjom. Można się jednak odpowiednio przygotować na wypadek wystąpienia różnego typu incydentów. Poza teorią, warto przy tym pomyśleć również o praktyce. Podobnie jak w przypadku testowych alarmów przeciwpożarowych, pracownicy mogą być poddawani testowym alarmom w zakresie bezpieczeństwa informacji. Sprawdzenie funkcjonowania instrukcji alarmowej w praktyce, pozwoli nam stwierdzić, czy instrukcja faktycznie działa, czy też może należy ją poprawić. Zdarza się, że takie testowe działania budzą pewne wątpliwości – odrywają pracowników od ich obowiązków, zajmują czas, itp. Niemniej, w trosce o wizerunek własnego przedsiębiorstwa i marki, warto poświęcić im nieco czasu. Pamiętajmy, że dobre imię i wiarygodność bardzo łatwo jest stracić. Dużo trudniej – odzyskać.

 

Konrad Gałaj-Emiliańczyk

Ekspert ds. danych osobowych ODO 24

Źródło: ODO 24

Bezpieczne hasła – to wcale nie musi być trudne

Internet jest obecnie wykorzystywany w szerokim spektrum aktywności, łącznie z bankowością, zakupami, wyszukiwaniem informacji, a także do nawiązywania i podtrzymywania znajomości. Większość serwisów online wymaga logowania, a do tego potrzebne są hasła. Eksperci z Kaspersky Lab radzą, jak zadbać o to, by były wystarczająco silne, i jak można je bezpiecznie przechowywać.

W ciągu ostatnich kilku lat nastąpił gwałtowny wzrost popularności portali społecznościowych, takich jak Facebook, Twitter itp., których użytkownicy mogą dzielić się wszelkimi informacjami, nawet tymi najbardziej poufnymi. Niestety, im więcej osobistych informacji znajduje się w Sieci, tym łatwiej o kradzież tożsamości. Dochodzi do niej, gdy cyberprzestępca ukradnie dane osobowe, co pozwala mu realizować szereg szkodliwych działań w imieniu oryginalnego właściciela danego konta. Korzystając ze skradzionych informacji, atakujący może np. otworzyć konto bankowe, uzyskać kartę kredytową lub ubiegać się o paszport. Cyberprzestępca może także po prostu ukraść pieniądze bezpośrednio z konta bankowego ofiary.

 

Ponieważ hasła chronią nasze najcenniejsze dane, musimy sobie zdawać sprawę z tego, jak ważne są te ciągi znaków. Powinniśmy tworzyć je z rozwagą i korzystać przy tym z najlepszych standardów. To samo dotyczy przechowywania haseł.

Stworzenie dobrego hasła pozwala na zminimalizowanie ryzyka stania się ofiarą cyberprzestępców. I mimo że sprawa jest poważna, to wcale nie musi być trudna. Eksperci z Kaspersky Lab przygotowali kilka porad, które pozwolą każdemu użytkownikowi tworzyć silne hasła i bezpiecznie je przechowywać.

 

Jak stworzyć silne hasło

  • Twórz hasła, które możesz łatwo zapamiętać – dzięki temu nie będziesz musiał zapisywać ich na kartce lub w pliku na dysku komputera (pamiętaj – taki plik może zostać ukradziony przez cyberprzestępców).
  • Nie twórz haseł, które są oczywiste i można je z łatwością odgadnąć, takich jak Twoje imię, kod pocztowy lub nazwa Twojej miejscowości, ulubiony zespół itp.
  • Nie używaj słów, które z łatwością można znaleźć w słowniku.
  • Używaj kombinacji małych i wielkich liter, cyfr oraz znaków specjalnych (takich jak @, # czy $).
  • Nie stosuj recyklingu haseł – nie używaj do poszczególnych serwisów takich fraz jak hasło1, hasło2, hasło3 itd.
  • Jeżeli jest to możliwe, używaj całych fraz zamiast pojedynczych słów.
  • Nigdy nie używaj tego samego hasła do kilku kont. Jeżeli cyberprzestępca wejdzie w posiadanie takiego hasła, automatycznie będzie miał możliwość włamania się do wszystkich zabezpieczonych nim zasobów online.

Jak bezpiecznie przechowywać hasła

  • Nikomu nie zdradzaj swojego hasła. Jeżeli jakakolwiek organizacja kontaktuje się z Tobą i prosi o jego podanie, nawet przez telefon, nie rób tego. To samo dotyczy jakichkolwiek danych osobowych. Pamiętaj – nigdy nie wiesz, kto jest po drugiej stronie ekranu lub linii telefonicznej.
  • Jeżeli sklep lub jakikolwiek inny serwis online wysyła Ci e-maila z informacją o nowym haśle, natychmiast zaloguj się i zmień to hasło. Najprawdopodobniej ktoś wszedł w posiadanie Twoich danych logowania i próbuje przejąć kontrolę nad kontem.
  • Upewnij się, że Twoje oprogramowanie antywirusowe blokuje próby przechwytywania lub kradzieży haseł.
  • Jeżeli nie potrafisz zapamiętać wielu złożonych haseł, skorzystaj z menedżera haseł, który zrobi to za Ciebie i przechowa wszystkie informacje w sposób bezpieczny. Dodatkowo, menedżer haseł pozwoli na automatycznie generowanie silnych haseł i umożliwi automatyczne logowanie w serwisach online.

Źródło: Kaspersky Lab 

Rośnie liczba ataków phishingowych

W ostatnim czasie coraz częściej można usłyszeć o atakach phishingowych na polskich internautów. Nieprawdziwe linki wysyłane na nasze skrzynki mailowe mają na celu pozyskanie naszych danych wrażliwych przez cyberprzestępców. W ostatnich tygodniach otrzymują je nie tylko klienci banków, ale również telekomów czy poczty.

Phishing to działanie polegające na wysyłaniu dużej ilości maili na adresy zidentyfikowane, jako aktywne lub wybrane losowo. Wiadomość phishingowa będzie dotyczyła wypełnienia dołączonego formularza lub kliknięcie linku, który przekieruje nas na nieuczciwą stronę. Imituje ona stronę firmy, na którą w emailu powołują się przestępcy w celu wyłudzenia od nas danych wrażliwych.

O zagrożeniu, jakie związane jest z phishingiem od początku mogli się przekonać klienci banków. Jednak od kilku lat na rynku coraz aktywniej zaczynają działać operatorzy telekomunikacyjni. Zaczynają współpracować z bankami, na skutek czego klienci zaczęli otrzymywać fałszywe faktury za usługi telekomunikacyjne. Sprawą zajął się Urząd Komunikacji Elektronicznej, który przestrzega konsumentów przed korespondencją nadsyłaną z adresów mailowych podobnych do adresów dostawców usług telekomunikacyjnych i wykorzystujących ich logotypy.

Rzecznik UKE, Dawid Piekarz stwierdził, że w tej sprawie podejmowane są czynności prewencyjne. Wykorzystując możliwości, które są aktualnie dostępne na rynku UKE stara się uczulić konsumentów na ryzyko i przestrzec przed próbą wyłudzenia danych osobowych lub pieniędzy.

Jeżeli przy zawarciu umowy z usługodawcą nie deklarowaliśmy chęci otrzymywania faktur w postaci elektronicznej i nie wyraziliśmy na to zgody, a mimo to na naszą skrzynkę mailową została nadesłana wiadomość z taką fakturą lub jeżeli zgodziliśmy się na otrzymywanie faktur w takiej formie, ale nie mamy pewności co do jej autentyczności powinniśmy wstrzymać się z dokonaniem opłaty i niezwłocznie skontaktować się z biurem obsługi klienta danego dostawcy usług telekomunikacyjnych, aby dokonać weryfikacji autentyczności wysłanej faktury.

Jak uniknąć phishingu? Istnieje dużo czynników wskazujących na to, że mail, który dostaliśmy jest nieuczciwy:

– podejrzane linki: mimo, że mogą wyglądać na prawdziwe, to może nas zmylić. W pierwszej kolejności, należy sprawdzić, czy adres odnośnika jest identyczny jak adres przeglądarce po najechaniu nad URL w emailu. Jeżeli coś wzbudzi nasze podejrzenia – nie klikajmy w link,

– zwróć uwagę na adres, z którego została wysłana wiadomość z elektroniczną fakturą,

– jeżeli nie jesteś pewny czy wiadomość mailowa jest prawdziwa, nie klikaj w żaden link. Aby dowiedzieć się czy mamy jakąś istotną wiadomość należy zalogować się na stronie banku, a wówczas dowiemy się tego,

– w wysłanych załącznikach może kryć się niebezpieczny wirus, dlatego nigdy nie powinniśmy otwierać załączników bez stuprocentowej pewności, że są one autentyczne,

– sprawdź, czy zamieszczony na fakturze elektronicznej numer konta bankowego jest zgodny z tym, na który trzeba wysłać pieniądze,

– faktura elektroniczna wysłana przez właściwego usługodawcę zostanie przesłana wyłącznie na adres, który osobiście podaliśmy przy zawarciu umowy z tym usługodawcą.

Joanna Walerowicz

mojszmal.pl