Każdego dnia udostępniamy w Internecie różne dane osobowe. Często okazuje się, że ujawniamy znacznie więcej, niż chcemy. Co istotne może mieć to wpływ zarówno na nasze prywatne życie, jak i zawodowe, ponieważ dane osobowe w cyfrowej rzeczywistości są dla cyberprzestępców niezwykle cenną informacją. Warto więc budować świadomość nt. zagrożeń i przeciwdziałania im w tym zakresie. Przypominać ma o tym Międzynarodowy Dzień Ochrony Danych Osobowych, który ma na celu wzmocnienie pozycji użytkowników indywidualnych i edukowanie firm w zakresie poszanowania prywatności, ochrony danych i budowania zaufania. To również odpowiedni moment aby zadbać o skuteczne zapobieganie możliwym naruszeniom.
Jak chronić swoją prywatność?
Cyberprzestępcy naruszają naszą prywatność, ponieważ im na to pozwalamy. W efekcie czego przejęte nielegalnie dane zasilają czarny rynek ze skradzionymi informacjami. Aby się przed tym uchronić należy pamiętać o kilku rzeczach:
- Dane osobowe są jak pieniądze: doceniaj je i chroń. Dane osobowe mają ogromną wartość dla firm – podobnie jak pieniądze. Podejmuj świadome decyzje, kiedy udostępniasz swoje dane.
- Miej oko na swoje aplikacje. Wiele aplikacji prosi o dostęp do danych osobowych, takich jak lokalizacja geograficzna, lista kontaktów i album ze zdjęciami, zanim będzie można skorzystać z ich usług. Zastanów się kto otrzymuje te informacje.
- Zarządzaj ustawieniami prywatności. Sprawdź ustawienia prywatności i bezpieczeństwa w usługach internetowych i aplikacjach oraz ustaw je tak, aby zapewniały Ci komfort podczas wymiany informacji.
Ochrona danych osobowych jest ważna również dla biznesu
Wystarczy przestrzegać kilku prostych zasad, aby chronić zarówno własne dane osobowe, jak i dane klientów i kontrahentów. Trend Micro zachęca firmy do edukowania swoich pracowników w zakresie ochrony danych osobowych klientów przed nieautoryzowanym dostępem oraz zapewnienie rzetelnego, zgodnego z prawem ich gromadzenia i przetwarzania. W tym celu wystarczy skorzystać z poniższych porad:
- Jeśli zbierasz dane, chroń je. Stosuj rozsądne środki bezpieczeństwa, aby chronić dane osobowe przed niewłaściwym i nieautoryzowanym dostępem.
- Przestrzegaj zasady prywatności. Buduj prywatność swojej firmy wdrażając zasady ochrony prywatności, które pomogą Ci zarządzać ryzykiem i stworzyć kulturę ochrony danych w Twojej organizacji.
- Przeprowadź ocenę praktyk gromadzenia danych osobowych. Dowiedz się, które prawa i przepisy dotyczące prywatności mają zastosowanie w Twojej firmie.
- Przejrzystość buduje zaufanie. Bądź otwarty i szczery w kwestii zbierania, przetwarzania i udostępniania danych osobowych klientów.
- Kontroluj działania swoich partnerów i dostawców. Jeśli ktoś świadczy usługi w Twoim imieniu, odpowiadasz również za sposób, w jaki gromadzi i wykorzystuje dane osobowe Twoich klientów.
Czym jest naruszenie danych?
Naruszenie danych to incydent, w którym informacje zostały skradzione lub zabrane z systemu bez wiedzy lub upoważnienia właściciela systemu. Ofiarami naruszenia danych są zwykle duże firmy lub organizacje, a skradzione dane mogą mieć charakter wrażliwy, zastrzeżony lub poufny (np. numery kart kredytowych, dane klientów, tajemnice handlowe lub kwestie bezpieczeństwa narodowego). Szkody powstałe w wyniku takich incydentów często prezentują się, jako utrata reputacji firmy u jej klienta, z powodu postrzeganej „utraty zaufania”. Szkoda może również dotyczyć finansów firmy, a także jej klientów, jeśli skradzione informacje stanowią część dokumentacji finansowej.
Naruszenie danych może być wynikiem działalności cyberprzestępczej (ataki ukierunkowane) lub całkowitego wypadku / błędu ludzkiego (zgubiony biznesowy laptop lub smartfon).
Najlepsze praktyki zapobiegające możliwym naruszeniom danych dla przedsiębiorstw:
- Zadbaj o aktualizację systemów. Administratorzy IT powinni szczególnie uważać, upewniając się, że WSZYSTKIE systemy w sieci są zaktualizowane o najnowsze poprawki, ponieważ niezałatane luki w systemach mogą oznaczać katastrofę. Bieżąca aktualizacja uniemożliwia cyberprzestępcom wykorzystywanie luk i podatności w oprogramowaniu.
- Edukuj i egzekwuj. Poinformuj swoich pracowników o zagrożeniach, zapewnij im szkolenia, aby uważali na wykorzystywane przez atakujących taktyki inżynierii społecznej i wprowadź wytyczne, co należy zrobić w sytuacji napotkanego zagrożenia.
- Wdrażaj środki bezpieczeństwa. Utwórz proces identyfikacji luk i przeciwdziałania zagrożeniom w Twojej sieci. Regularnie wykonuj audyty bezpieczeństwa i upewnij się, że wszystkie systemy podłączone do sieci firmowej są monitowane.
- Wdrażaj skuteczny plan odtwarzania po awarii. W przypadku naruszenia danych zminimalizuj zamieszanie, przygotowując się do kontaktu z pracownikami i poszkodowanymi, przygotuj strategię komunikacji i niezbędne kroki do wyjaśnienia sytuacji. Upewnij się, że Twoi pracownicy zostali poinformowani o planie mobilizacji po wykryciu naruszenia.
Najlepsze praktyki w zakresie ochrony danych – niezbędnik dla firm
W krytycznych zasobach organizacji znajdują się informacje ułatwiających zwiększanie przewagi konkurencyjnej, a także informacje prawne, dane osobowe oraz dane z codziennych operacji. Aby chronić swoje kluczowe zasoby organizacje powinny zidentyfikować dane o znaczeniu krytycznym, zmapować je, ocenić zagrożenie naruszenia oraz zaplanować i wdrażać środki bezpieczeństwa.
- Skonfiguruj uwierzytelnianie dwuelementowe (dwuetapowe). W wielu ważnych witrynach i usługach internetowych stosowane jest uwierzytelnianie dwuelementowe (2FA – Two-factor authentication). Skonfiguruj logowanie tak, aby nie ograniczało się do podania hasła (do uwierzytelniania wykorzystaj na przykład aplikacje mobilne lub narzędzia biometryczne). Hasła mogą być przedmiotem ataków hakerów, wycieków lub kradzieży.
- Skonfiguruj wstępne parametry środowiska do pracy z domu. Oceń firmowe zabezpieczenia i opracuj precyzyjne wytyczne dotyczące pracy zdalnej, które będą zgodne z polityką przedsiębiorstwa. Zapewnij pracownikom narzędzia do zapobiegania włamaniom i ochrony przed utratą i kradzieżą danych — w miarę możliwości udostępnij im zatwierdzone przez dział IT firmowe laptopy.
- Pamiętaj o tworzeniu kopii zapasowych danych. W tym zakresie trzymaj się zasady 3-2-1: twórz co najmniej trzy kopie danych w dwóch różnych formatach pamięci, a co najmniej jedną kopię przechowuj poza siedzibą przedsiębiorstwa (np. zewnętrzne dyski SSD lub HD).
- Zadbaj o wystarczającą liczbę licencji VPN. Większa liczba pracowników mobilnych oznacza, konieczność posiadania przez firmę odpowiedniej ilości licencji do korzystania z wirtualnej sieci prywatnej i łącze o odpowiedniej przepustowości, aby obsłużyć wielu użytkowników.
- Ogranicz korzystanie z sieci VPN. Stwórz zasady uzyskiwania dostępu do sieci VPN i wymagaj od użytkowników okresowego ponownego logowania (możesz na przykład umożliwić dostęp przez maksymalnie 12 godzin na użytkownika dziennie, a po upływie tego czasu automatycznie wylogować go z usługi).
Najlepsza praktyka w zakresie prywatności danych – niezbędnik dla pracowników
- Jeśli to możliwe, do pracy zdalnej używaj firmowego laptopa. Pracując, nie korzystaj z własnego komputera, ponieważ może on być zabezpieczony gorzej, niż sprzęt pracodawcy. Laptopy i urządzenia firmowe powinny być używane wyłącznie przez pracowników. Pozostali domownicy nie powinni mieć dostępu do sprzętu przeznaczonego do pracy.
- Jeśli nie możesz uniknąć korzystania z prywatnych urządzeń, postaraj się wyposażyć je w zabezpieczenia, jak najbardziej zbliżone do tych stosowanych w biurze. Wykorzystaj oprogramowanie zabezpieczające dostarczone przez pracodawcę i przestrzegaj firmowych zasad ochrony danych. Oddziel pracę od czynności wykonywanych w celach prywatnych (np. przeglądania Internetu).
- Używaj wskazanych przez firmę sieci VPN i unikaj bezpłatnych, publicznych sieci Wi-Fi. Korzystaj z dedykowanych korporacyjnych serwerów VPN tylko na swoim laptopie lub desktopie dedykowanym do pracy, aby zadbać o bezpieczne połączenie między siecią w Twoim domu i w biurze. Uważaj jednak na próby wyłudzania danych (phishing) ukierunkowane na kradzież danych uwierzytelniających w sieciach VPN. Jeśli nie masz do dyspozycji połączenia VPN, przesyłaj dane szyfrowaną pocztą elektroniczną lub użyj narzędzia do szyfrowania PGP (Pretty Good Privacy).
- Podziel sieci. Używaj sieci gościa, aby odizolować firmowy komputer. Jeśli masz router lub przełącznik z funkcją wirtualnej sieci lokalnej (VLAN), włącz ją i stwórz sieć VLAN przeznaczoną wyłącznie do pracy.
- Przygotuj w domu rozwiązanie do tworzenia kopii zapasowych. Gdy masz możliwość tworzenia kopii zapasowych (np. na dyskach twardych ze złączem USB), dysponujesz zabezpieczeniem na wypadek problemów, takich jak utrata łączności lub awaria serwera. Użytkownicy systemu macOS mogą włączyć do tworzenia kopii zapasowych funkcję Time Machine.
- Uważaj na oszustwa internetowe. Przestępcy niestety wykorzystują sytuacje takie jak pandemia wirusa COVID-19 i żerują na powszechnych obawach i dezinformacji. Za pomocą wiadomości e-mail, szkodliwych domen, fałszywych aplikacji lub mediów społecznościowych rozsyłają nieprawdziwe powiadomienia dotyczące przesyłek, informacje o pandemii, a nawet załączniki z wiadomościami o rzekomych lekach kryjące tak naprawdę szkodliwe oprogramowanie. Takie wiadomości od oszustów często są dopasowane do kraju odbiorcy, co nadaje im pozór prawdziwości.