W pierwszym przypadku prokuratura miała obowiązek udostępnić akta stronom postępowania i z tego obowiązku się po porostu wywiązała. Wyciek danych nastąpił prawdopodobnie gdzieś indziej. Zawinił ktoś, kto miał prawo się z aktami zapoznać, a nawet je skopiować. Wśród ujawnionych danych były również dane osobowe osób, biorących udział w postępowaniu – stron, świadków, prokuratorów, itp.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Drugi przypadek wygląda na celowe działanie na szkodę banku. Co więcej, po kradzieży danych, haker zgłosił się do banku z żądaniem okupu w zamian za niepublikowanie skradzionych danych. Bank przed szantażem się nie ugiął, w efekcie czego szantażysta część danych opublikował i zmienił żądanie na wpłatę określonej kwoty już nie dla siebie, ale na konto dowolnie wybranego domu dziecka. Zagroził ujawnianiem kolejnych informacji. Początkowo bank nie chciał oficjalnie potwierdzić, że doszło do włamania i ktoś faktycznie wszedł w posiadanie danych klientów. Teraz jednak wiemy już zarówno to, że taki fakt miał miejsce, jak też, że najprawdopodobniej chęć zysku czy chęć zaszkodzenia bankowi spotkała się ze słabymi zabezpieczenia banku… Sprawą zainteresowała się już prokuratura oraz Generalny Inspektor Ochrony Danych Osobowych. Trwa postępowanie wyjaśniające.
Oba te przypadki są na tyle spektakularne i szokujące, że słyszeli o nich już chyba wszyscy. Wiele firm zaczęło się w związku z tym zastanawiać, czy ich systemy informatyczne i procedury bezpieczeństwa są w stanie skutecznie ochronić gromadzone w firmach dane. Zapewne więc zarówno działy IT jak też administratorzy bezpieczeństwa informacji byli ostatnio w swoich firmach dość zajęci. Pytanie tylko, czy nie jest to chwilowy zapał, który zgaśnie tak samo szybko jak się pojawił?
Warto zdać sobie sprawę, że poza tak głośnymi wyciekami danych, mniejsze incydenty zdarzają się w firmach niemal każdego dnia! Czasem zupełnie ich niezauważany, czasem na szybko tuszujemy, a jeszcze innym razem już tylko z nadzieją liczymy na to, że nikt się nie dowie. Chodzi o bardzo prozaiczne incydenty takie jak błędne zaadresowanie maila, który przez przypadek trafia do niewłaściwego adresata, niezastosowanie kopii ukrytej w grupowej korespondencji czy pozostawienie w sali konferencyjnej CV kandydatów do pracy. Bywa, że w efekcie faktycznie nic się nie dzieje, ale zdarza się również, że osoby, których dane zostały bezprawnie udostępnione lub przetwarzane zechcą zgłosić skargę, a nawet zawiadomić o zdarzeniu media. Wówczas z pozoru niewielkie zdarzenie może urosnąć do niewiarygodnych rozmiarów i negatywnie odbić się na wizerunku danej firmy czy instytucji.
Niestety, fakty są takie, że współcześnie nie da się zagwarantować swoim danym stuprocentowego bezpieczeństwa i zapobiec wszelkim incydentom. Ważne jednak, aby takie ryzyko minimalizować. Nie od dziś wiadomo, że najsłabszym ogniwem jest zwykle człowiek, dlatego też warto edukować i szkolić swoich pracowników (nasze szkolenia), aby zdawali sobie sprawę z zagrożeń, unikali ich, a jeśli już zdarzy się jakiś incydent, aby wiedzieli, jak mają się w takiej sytuacji zachować.