Wyciek danych – czy to zwykła kradzież?

Home / Aktualności / Wyciek danych – czy to zwykła kradzież?

Gdy dane wysyłane są na zewnątrz zaufanej sieci, nierzadko zakładamy, że w grę wchodzą złośliwe zamiary. W niektórych przypadkach mamy rację. Ale jeśli chodzi o wyciek danych z sieci, w którym uczestniczą pracownicy którym ufamy i których sami zatrudnialiśmy (zakładając poprawny proces rekrutacji) – powinniśmy poświęcić trochę czasu, aby dowiedzieć się więcej. Wycieki danych są bardzo częste – ale czy z powodu błędu lub zaniedbania pracownika?


Wyobraźmy sobie następującą sytuacje:


  1. Nowy pracownik dodaje swój osobisty dysk iCloud do swojego urządzenia służbowego, aby ułatwić dostęp do swoich danych osobowych, nie zdając sobie sprawy, że istnieje domyślne ustawienie, które kończy się automatycznym przesyłaniem danych firmy na jego konto iCloud.
  2. Członek zespołu pracujący zdalnie podczas pandemii może uzyskać dostęp do pliku na swoim osobistym laptopie, gdy jego komputer służbowy nie ładuje się.
  3. Ze względu na zablokowane porty USB i konieczność szybkiego wydruku prezentacji dla Klienta – pracownik wysyła ją na swój prywatny e-mail by móc wydrukować na zewnętrznej drukarce.
  4. Pracownik przez nieuważnośc przenosi dane do prywatnego OneDrive zamiast instancji korporacyjnej i zapomina je wykasować.


Założenie, że pracownicy chcą ukraść Twoją własność intelektualną lub tajemnice handlowe, stawia zespoły ds. bezpieczeństwa i pracowników przeciwko sobie i może przyczynić się do niepotrzebnego stresu.  Dlatego wdrożenie kultury bezpieczeństwa opartej na pozytywnych intencjach zaczyna się już pierwszego dnia pracy pracownika. Włącz zabezpieczenia do procesu wdrażania, nawet jeśli rozmawiasz o tym tylko przez pięć minut. Wykorzystaj ten czas, aby nadać ton, że Twój zespół ds. bezpieczeństwa nie jest na miejscu i potrzebujesz pomocy pracowników, aby chronić zasoby firmy. Należy również położyć podwaliny pod najlepszą współpracę pracowników z zespołem ds. bezpieczeństwa: dokąd się udają, jeśli potrzebują pomocy, mają pytania lub muszą zgłosić jakiekolwiek problemy lub wątpliwości?


Niezbędne są również odpowiednie szkolenia z zakresu cyberbezpieczeństwa. I nie mówimy tutaj o suchych szkoleniach w stylu BHP. Jako specjaliści współpracujemy z firmą Proofpoint –Security & Awareness training. Nie bez powodu jest 6-krotny lider Gartnera w zakresie rynku User Awareness.


Rozwiązanie skupia się na dwóch głównych etapach:

  1. Identyfikacja ryzyka: Określa, kto jest atakowany i ocenia jego zdolność do samoobrony. Rozwiązanie identyfikuje ryzyko za pomocą raportów bardzo zaatakowanych osób (VAP – Very Attacked Person), symulacji zagrożeń i ocen wiedzy. Raporty VAP dostarczają cennych danych, takich jak to, kto klika znaną złośliwą zawartość i jest najczęściej celem atakujących. Symulacje mogą wykorzystywać szablony z analizy zagrożeń Proofpoint, aby zapewnić realistyczne pomiary ryzyka użytkownika, a oceny wiedzy można w pełni dostosować. Na tym etapie wprowadzane są również sytuacyjne testy z wiedzy o cyberbezpieczeństwie.

  2. .Zmiana zachowania: Proofpoint dostarcza ukierunkowaną edukację, opartą na analizie zagrożeń, właściwym użytkownikom. Treści edukacyjne są w pełni konfigurowalne i tworzone zgodnie z zasadami „nauki uczenia”. Gwarantuje to, że żytkownicy będą zaangażowani podczas szkolenia, aby lepiej zachować te kluczowe umiejętności. Wdrażane przez nas treści to między innymi:
    – Interaktywne moduły szkoleniowe.
    – Moduły szkoleniowe wideo.
    – Moduły szkoleniowe oparte na grach.
    – Materiały dotyczące świadomości bezpieczeństwa, w tym plakaty, infografiki, biuletyny i nie tylko.
    – Materiały programowe dla administratorów.


Nie możemy oczekiwać od pracowników, że będą świetni w czymś, czego nigdy nie będą rozumieć ani ćwiczyć.


Naturalnie nadal istnieje ryzyko, że pracownik może złośliwie wykraść dane. Nadal najlepiej jest podchodzić do każdego wycieku danych z założeniem, że osoba za nim stojąca miała pozytywne intencje, ponieważ często tak jest. Kiedy kontaktujesz się z pracownikiem w sprawie naruszenia bezpieczeństwa lub błędu, język i sformułowania, których używasz, mogą w dużym stopniu pokazać, że jesteś w stanie pomóc i sprawić, że pracownik poczuje się komfortowo i będzie chciał pracować z Twoim zespołem.


Aby zredukować stres związany z wrażliwą naturą bezpieczeństwa IT – informacji, które musimy chronić – musimy zmienić i wzmocnić narrację dotyczącą bezpieczeństwa. Musimy pokazać pracownikom, że wierzymy w ich dobre intencje. W ten sposób zesół ds. bezpieczeństwa IT pokaże współpracownikom, że postrzega ich jako zaufanych partnerów w zakresie bezpieczeństwa. Przestanie pełnić rolę „policji IT”, a firma jako całość będzie bardziej wydajna i proaktywna w zakresie ich podejścia do bezpieczeństwa.





Powiązane artykuły

KLASYFIKACJA DANYCH: PRZYPADEK UŻYCIA – OGRANICZENIE RYZYKA
Dlaczego warto jest połączyć system ochrony przed wyciekiem typu DLP z systemem klasyfikacji danych
Co to jest ISO 27001 i dlaczego jest tak ważne dla organizacji
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.
Akceptuję Więcej informacji