KRD
Bez kategorii

Człowiek – najsłabsze ogniwo w ochronie danych osobowych? Nic bardziej mylnego! Snooping i możliwe szkody, które może wywołać

By 9 marca 2019 No Comments

Panuje  przekonanie,  że człowiek jest najsłabszym ogniwem w polityce ochrony danych osobowych. MY UWAŻAMY, ŻE JEST INACZEJ! Dlaczego? Odwracamy tę tezę o 180° twierdząc, że człowiek jest NAJSILNIEJSZYM OGNIWEM w budowanym systemie bezpieczeństwa, w tym danych osobowych.

Dlaczego?

Sztuczna inteligencja jest niczym innym jak odpowiednim zaprogramowaniem technologicznym. Jako algorytm nie posiada potrzeb, w tym potrzeby konkurencji, czy celowego czynienia szkody. Jeżeli wykonuje takie zadania, to czyni to na podstawie odpowiednich ustawień, za które odpowiada człowiek. Autorzy bloga przed laty przygotowując się do egzaminu audytora PN/ISO: 27001:2014-12 w czasie wykładów usłyszeli po raz pierwszy tezę, iż to człowiek/pracownik jest najsilniejszym ogniwem w systemie zarządzania bezpieczeństwem informacji, pomimo że mówi się, iż najsłabszym. Początkowo trudno nam było zrozumieć takie podejście, jednakże na przestrzeni lat zostało ono zmienione.

Dlaczego? Z doświadczenia wiemy, że:

  • Odpowiednio przeszkolony pracownik jest świadomy występowania zagrożeń. Najważniejszym aspektem jest szkolenie. Bez odpowiednich przykładów i wyjaśnień samo wdrożenie „suchej” procedury bezpieczeństwa informacji, w tym danych osobowych, w żadnej organizacji nie przełoży się na jej odpowiednie przestrzeganie, zrozumienie i oczekiwane reakcje.
  • Szkolenia pracowników są zalecane, np. w art. 38 ust. 1 lit. b RODO, a także przez Urząd Ochrony Danych Osobowych (więcej na: https://uodo.gov.pl/pl/138/273 ) – budowanie świadomości jest tu najważniejszym aspektem, bowiem Administrator danych zobowiązany jest na podstawie art. 33 ust. 5 RODO do „dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych. Dokumentacja ta musi pozwolić organowi nadzorczemu na zweryfikowanie przestrzegania niniejszego artykułu” Tylko świadomy pracownik jest w stanie określić, czy doszło do incydentu bezpieczeństwa i poinformować o tym administratora lub inspektora. Bez odpowiednich szkoleń z tego zakresu, administrator nie dopełni powyższego obowiązku. Czyżby człowiek okazał się tu najsilniejszym ogniwem?
  • Większość administratorów w nadawanych poleceniach i upoważnieniach do przetwarzania danych osobowych wprowadza zapisy o odpowiedzialności karnej oraz cywilnej dla swojego personelu. O ile jest to zrozumiałe, o tyle bez budowania świadomości i szkoleń (wzmacniających najsilniejsze ogniwo J) trudno będzie wyegzekwować przestrzeganie przyjętych procedur. Wzór upoważnienia pobierzesz za darmo na: https://tiny.pl/tgs1l

Posłużymy się przykładem snooping`u – czyli kradzieżą wzrokową

Pani Hania – jest pracownikiem sekretariatu w małej miejscowości. Na co dzień przyjmuje wizytatorów spółki oraz jest odpowiedzialna za prowadzenie sekretariatu, w tym: korespondencji z usługodawcami i usługobiorcami spółki oraz kandydatami do pracy, bowiem zamieszcza ogłoszenia o  pracę. Pracodawca nie traktując poważnie ochrony danych osobowych swoich Klientów stwierdził, iż szkolenie z zakresu RODO nie jest potrzebne Pani Hani. W poniedziałek o godzinie 09:20 do siedziby spółki przyjechał przedstawiciel handlowy Pan Marek, który był umówiony z Zarządem na godzinę 09:30 na spotkanie w celu przedstawienia swojej oferty. Pani Hania poszła do gabinetu Prezesa zaanonsować gościa. W tym czasie stanowisko sekretariatu zostało opuszczone na 95 sekund! Pan Marek w ciągu 70 sekund(!) spostrzegł na biurku sekretarki wezwanie do zapłaty wystawione na działalność gospodarczą Pana Irka, który świadczy analogiczne usługi, jak Pan Marek. Na wezwaniu widniała kwota do zapłaty (Pan Marek posiada już wiedzę o cenach konkurencji), adres oraz numer NIP Pana Irka. Na niezabezpieczonym pulpicie Pani Hania analizowała CV Pani Izy – kandydatki do pracy, w którym opisała swoją trudną sytuację życiową. Pan Marek bardzo się zdziwił, bowiem od lat współpracuje z Panią Izą, z którą kilka dni temu prowadził rozmowę dotyczącą jej rozwoju w firmie. Sekretarka wróciła do Pana Marka, proponując kawę, poprosiła o chwilę cierpliwości kierując gościa do salki konferencyjnej. W ciągu 70 sekund Pan Marek ukradł:

  1. Dane osobowe konkurenta wraz z informacjami handlowymi i problemami finansowymi osoby fizycznej
  2. Dane osobowe (informacje) o swojej koleżance z pracy

 

Co się wydarzyło dalej?

Pan Marek otrzymał kontrakt konkurując ceną. W czasie rozmów w piątkowy wieczór opowiedział o problemach finansowych Pana Irka, który tracił zlecenia, tym samym nie był w stanie realizować płatności. Popadł w długi. Pani Iza zaś straciła pracę, pod pretekstem redukcji etatu, zaś prawdziwą przyczyną była kara za poszukiwanie nowej pracy.

 

Czego się dowiadujemy?

To człowiek jest najsilniejszym ogniwem. Tylko przeszkolony pracownik będzie w stanie analizować i zgłaszać zagrożenia. Każdy z nas spotka(ł) w swoim życiu „Pana Marka”, ale czy potrafił go zdemaskować? To okazja (brak wiedzy i świadomości działań socjotechnicznych) czyni z niektórych takich „Panów  Marków”. W tym ujęciu to człowiek okazał się najsłabszym ogniwem.

By pracownicy (ludzie) potrafili prawidłowo reagować, przetwarzać i zabezpieczać informacje – w tym dane osobowe, za które odpowiada administrator (firma) konieczne jest podnoszenie świadomości i przekazanie im niezbędnej wiedzy.  Tylko odpowiednio przeszklony personel może stać się najsilniejszym  ogniwem ochrony danych osobowych.

Szkolimy z zakresu RODO i socjotechnik na terenie całego kraju! Więcej? https://www.rodokontrola.pl/szkolenia-rodo/ Przy zgłoszeniach do 30 kwietnia 2019 roku – szkolenie wewnętrzne do 20 osób w cenie: 1400 PLN + VAT wyślij zapytanie na: rodokontrola@rodokontrola.pl