Većina ljudi će povrede osobnih podataka povezati s hakerima i kradljivcima podataka koji izvana probijaju računalne sustave i za svoju korist kradu podatke. Ta slika, iako do neke mjere točna, prilično je ograničena.
Povrede podataka koje dolaze iznutra i šteta od pojedinaca povezanih uz organizacije u sve su većem porastu. Ponekad je to zaista zlonamjerno, no uglavnom su, i to zapravo najviše zabrinjava, posljedica nehaja. Ta vrsta štete najtragičnija je jer ju je moguće spriječiti, a događa se sve češće.
Brojke
Izvješće Instituta Ponemon iz 2016, financirano od strane Experianova centra za povrede podataka pokazalo je da je preko 55% tvrtki doživjelo povredu podataka koja je bila posljedica zlonamjernog ili nemarnog zaposlenika.
Dva su glavna načina na koje se to može dogoditi: zbog već navedenih kriminalnih namjera ili zbog krađe identiteta (phishinga), tj. lažnih e-poruka. Razni špijunski programi još su jedan od puteva kojima se podaci mogu povrijediti, ali se rjeđe događaju.
Oko polovica tvrtki koristi neke od metoda upravljanja lozinkama. Oko 40% enkriptira svoje uređaje, odvaja poslovne podatke od privatnih i ima ustrojen sustav upravljanja uređajima na daljinu. Samo četvrtina enkriptira tvrde diskove i, prema tome, ne štite dovoljno privatne uređaje koji se koriste za rad – tzv. BYOD uređaje (od engl. Bring your own device).
Identifikacija prevladava
Što se fizičke sigurnosti tiče, 80 % tvrtki koristi neki oblik identifikacijskih kartica za pristup prostorijama tvrtke, a oko polovica ih uništava povjerljive podatke. Zaštita privatnosti obvezna je na računalima samo petine tvrtki.
Možda bi vam se moglo činiti da su podaci iz 2016. zastarjeli i da više ne vrijede. Nažalost, bili biste u krivu jer se gotovo ništa nije promijenio. Prema izvješću američke tvrtke Beazley, oko 30 % povreda osobnih podataka u prvoj polovici 2017. godine uzrokovale su pogreške zaposlenika ili nemarno postupanje s podacima dok su bili povjereni trećim stranama.
Zdravstvo je bilo osobito pogođeno povredama u vidu slučajne objave podataka. I do 42 % svih povreda posljedica su nepažnje pojedinaca.
Prevencija povrede podataka: koriste li edukacije?
Kako tvrtke mogu spriječiti ili barem smanjiti pojavu povreda od strane zaposlenika? Pa, prvenstveno kvalitetnim politikama edukacije. Potom, smanjivanjem protoka ljudi također se mogu postići dobri rezultati, te naposljetku, dobrim odabirom radnika prije samog zapošljavanja. Time sprečavate probleme prije nego uopće nastanu.
Tvrtke također mogu ustrojiti dobre interne sigurnosne mjere koje se ne oslanjaju na poštenost i suradnju zaposlenika. Naprimjer, kontrole pristupa i ‘karantene’ podataka mogu dramatično sniziti broj povreda. Što manje podataka kola uokolo, manji je rizik da negdje ‘procure’.
Iz iskustva znamo da su programi edukacije korisni samo za nemarne zaposlenike; neće značajno utjecati na zaposlenike sa zlim namjerama. U tim je situacijama najbolja fizička sigurnost.
…Ne previše
Nasreću, većina tvrtki shvatila je ograničenu korist trenutno ponuđenih programa za edukaciju. Nažalost, samo 17 % tvrtki smatra ih vrlo efikasnima. Ti programi, jasno je, poprilično su ograničeni. Većina pokriva samo osnove s težištem na sigurnost lozinki, zakone o privatnosti i zaštitu papirnatih dokumenata. Samo mali dio pokriva opasnosti koje vrebaju na društvenim mrežama, kao i instaliranje potencijalno neželjenog softvera.
Više od polovice ispitanih tvrtki tvrdi da edukacije nisu obradile probleme socijalnog inženjeringa i online krađe identiteta. Oko 40 % smatra da su edukacije u dovoljnoj mjeri pokrile sigurnost mobilnih uređaja, a samo 30 % izražava zadovoljstvo obradom sigurnosti pristupa uslugama u oblaku.
Nagrade zaposlenicima koji odgovorno postupaju s osjetljivim podacima mogu biti sjajan motivacijski alat. Prednosti mogu biti financijske, ili dovesti do bolje ocjene u idućoj procjeni kvalitete radnika. Isto tako, nepažljive zaposlenike treba kazniti, ali i uložiti u njihovo obrazovanje. Nažalost, samo 30 % zaposlenika mora ponovno proći tečaj o sigurnosti podataka.
Budućnost povreda podataka
Ako je trenutnim trendovima za vjerovati, kraj povreda podataka koje uzrokuju zaposlenici ni blizu se ne nazire. Izvješće Experije pokazuje da samo trećina direktora smatra obučavanje zaposlenika o sigurnosnim rizicima pitanjem visoke važnosti.
Možemo se samo nadati da će GDPR tvrtkama pružiti poticaj koji će ih motivirati na usvajanje ispravnih mjera za zaštitu osobnih podataka.
