2014-09-18

Wyciek danych – i co dalej?

Obecnie, przy stale rosnącej ilości informacji i niezwykle szybkim tempie ich przepływu, o wyciek danych jest łatwo jak nigdy dotąd. Dochodzi do tego właściwie wszędzie, niezależnie od branży i wielkości firmy czy instytucji. Co robić, gdy z naszej firmowej bazy wyciekną dane? Czy mamy opracowany awaryjny plan działania? Czy potrafimy rzetelnie informować o incydencie, jego skutkach i podejmowanych działaniach naprawczych? Jak wyjść z twarzą z tej trudnej sytuacji, jak odpowiednio nią zarządzać i jak ograniczyć jej negatywne skutki radzi Konrad Gałaj-Emiliańczyk z ODO 24.

Nadzór nad bezpieczeństwem

Po pierwsze, profilaktyka. Zadbajmy o to, by w naszych firmach, organizacjach, instytucjach pracowały osoby kompetentne i odpowiedzialne. W szczególności powinniśmy zwrócić uwagę na osoby bezpośrednio odpowiedzialne za ochronę przetwarzanych danych – administratorów bezpieczeństwa informacji (ABI), administratorów systemów informatycznych (ASI), pełnomocników ds. informacji niejawnych czy, w sektorze finansowym, compliance oficerów. Wszystkie te osoby mają za zadanie ograniczenie ryzyka wystąpienia incydentów, ale również, o czym często zapominamy, zarządzanie ryzykiem oraz samymi incydentami. Dobór niewłaściwych osób lub ograniczanie ich uprawnień w sytuacjach kryzysowych powoduje najczęściej ogromny chaos i straty wizerunkowe.

Procedury alarmowe

Po drugie, procedury. Często niedoceniane, lekceważone i nielubiane, ale jak się okazuje (najczęściej po fakcie!), bardzo przydatne. Procedury to nic innego jak wewnętrzne regulacje, opisujące sposób postępowania w poszczególnych sytuacjach. W naszym przypadku to opis postępowania z dokumentami, elektronicznymi nośnikami danych, dostępem do internetu czy poczty elektronicznej. Ich wdrożenie i przestrzeganie, znacznie ogranicza ryzyko wycieku danych. Właściwie skonstruowana procedura ochrony danych powinna zawierać również tzw. instrukcję alarmową, określającą zasady postępowania na wypadek zaistnienia incydentu. Dzięki takiej instrukcji unikamy zaskoczenia i organizacyjnego chaosu. Każda z osób zajmujących się przetwarzaniem danych doskonale wie, jak ma się w danej sytuacji zachować, do kogo zwrócić, komu i jakich informacji udzielić. Opracowując procedury pamiętajmy, aby były one możliwie najbardziej intuicyjne.

Sprawna komunikacja

Po trzecie, szybka i spójna komunikacja. Znacznie pomoże w tym wspomniana powyżej instrukcja alarmowa. Osoba, która dowiaduje się o wycieku danych lub jest jego sprawcą (nieumyślnym) powinna jak najszybciej powiadomić o incydencie administratora bezpieczeństwa informacji (ABI). Po otrzymaniu zgłoszenia ABI ma za zadanie jak najszybsze ograniczenie wycieku lub niedopuszczenie do jego eskalacji. Dopiero w dalszej kolejności przychodzi czas na ustalenie faktów – co i dlaczego się stało? kto zawinił? jak zapobiegać takim zdarzeniom w przyszłości? Na ich podstawie ABI opracowuje odpowiedni protokół ze zdarzenia i przekazuje go przełożonym. Ujawnienie informacji o incydencie współpracownikom czy, w szczególnych przypadkach, wydanie na ten temat publicznego oświadczenia, jest ostatnim z elementów działania kryzysowego. Wyjątkiem jest oczywiście sytuacja, gdy mamy do czynienia z dużym wyciekiem danych i media dowiedzą się o nim wcześniej (niestety, czasem nawet wcześniej niż przedstawiciele firmy). Warto wówczas po prostu poinformować media o tym, że pracujemy nad opanowaniem i wyjaśnieniem sytuacji. Zdecydowanie odradzamy uciekanie się do stwierdzeń typu „bez komentarza”! Po zbadaniu sytuacji można już wydać stosowne, szersze oświadczenie i odpowiedzieć na ewentualne pytania. Najczęściej takie oświadczenie wydaje rzecznik prasowy lub pełnomocnik zarządu. Bardzo ważne, by zostało oni wcześniej wewnętrznie uzgodnione z zarządem, administratorem bezpieczeństwa informacji, a także innymi osobami zaangażowanymi w sytuację.

Spójne oświadczenie

Po czwarte, właściwy sposób informowania o incydentach. Przede wszystkim pamiętajmy o tym, aby wyznaczyć  jedną osobę odpowiedzialną za składanie oświadczeń w imieniu  naszej organizacji. O tym, kto to będzie i jak wobec tego powinni się zachowywać pozostali pracownicy, warto wyraźnie poinformować w instrukcji alarmowej. Ważną rolę mogą tu również odegrać stosowne klauzule o poufności, podpisywane przez poszczególnych pracowników.  Niestety, w praktyce często dochodzi do sytuacji gdy wydawanych jest kilka  następujących po sobie oświadczeń, niekiedy nawet ze sobą sprzecznych. Co więcej, w komunikacji pojawiają się również informacje i komentarze bezrefleksyjnie zamieszczane przez poszczególnych pracowników na portalach społecznościowych. To najprostsza droga do informacyjnego chaosu i eskalacji sytuacji kryzysowej! Pamiętajmy, że właściwie skonstruowane oświadczenie i rzetelne informowanie o podejmowanych działaniach naprawczych, jest w stanie uratować dobre imię podmiotu nawet w naprawdę trudnych sytuacjach.  

***

Niestety, nie ma dziś fizycznej możliwości zagwarantowania stuprocentowego bezpieczeństwa przetwarzanym danym i informacjom. Można się jednak odpowiednio przygotować na wypadek wystąpienia różnego typu incydentów. Poza teorią, warto przy tym pomyśleć również o praktyce. Podobnie jak w przypadku testowych alarmów przeciwpożarowych, pracownicy mogą być poddawani testowym alarmom w zakresie bezpieczeństwa informacji. Sprawdzenie funkcjonowania instrukcji alarmowej w praktyce, pozwoli nam stwierdzić, czy instrukcja faktycznie działa, czy też może należy ją poprawić. Zdarza się, że takie testowe działania budzą pewne wątpliwości – odrywają pracowników od ich obowiązków, zajmują czas, itp. Niemniej, w trosce o wizerunek własnego przedsiębiorstwa i marki, warto poświęcić im nieco czasu. Pamiętajmy, że dobre imię i wiarygodność bardzo łatwo jest stracić. Dużo trudniej – odzyskać.

Konrad Gałaj-Emiliańczyk

Ekspert ds. danych osobowych

ODO 24

Do pobrania

Logo ODO 24

"Jeden człowiek na etacie
może więcej niż zespół ekspertów"

Jesteś tego pewien?

Zoptymalizuj
koszty

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>