Polskie firmy pozwalają się okradać … swoim pracownikom
Dane zapisane na dyskach służbowych komputerów to jedne z najcenniejszych firmowych aktywów. Jak wynika z ostatnich badań utrata tego typu danych może oznaczać dla polskiego przedsiębiorstwa nawet konieczność zawieszenia lub zamknięcia działalności.
Mimo świadomości istnienia takiego niebezpieczeństwa aż 41 proc. polskich firm naraża się na skutki lekceważenia ochrony danych, m.in. pozwalając swoim pracownikom kopiować z firmowych komputerów dowolne pliki! Specjalizująca się w bezpieczeństwie IT firma DAGMA z Katowic, przy współpracy z TÜV Rheinland Polska oraz PKPP Lewiatan, przeprowadziła badanie mające na celu zdiagnozowanie poziomu bezpieczeństwa danych w polskich przedsiębiorstwach. Partnerem merytorycznym projektu był instytut Millward Brown SMG/KRC. Wyniki pozwalają stwierdzić, że rodzime przedsiębiorstwa poważnie podchodzą do kwestii ochrony swoich komputerów przed wirusami - prawie wszyscy ankietowani zadeklarowali, że w ich firmach zainstalowano oprogramowanie antywirusowe (98%). I jak się wydaje jest to działanie słuszne - 36% ankietowanych przyznało, że przedsiębiorstwa, którymi zarządzają lub w których pracują, odnotowały w ostatnich 12 miesiącach incydenty związane z bezpieczeństwem IT. Najczęściej wiązały się one właśnie z infekcją wirusa. Niestety wizerunek odpowiedzialnych i poważnie podchodzących do bezpieczeństwa informatycznego przedsiębiorstw psuje fakt, iż polskie firmy zapominają o konieczności zabezpieczania jednych z najcenniejszych swoich aktywów - danych zapisanych na dyskach twardych komputerów. Taka sytuacja jest bardzo często równoznaczna z łamaniem przez rodzime przedsiębiorstwa przepisów polskiego prawa.
79% ankietowanych przyznało, że przechowuje na dyskach firmowych laptopów dane osobowe, jednak tylko 22% pytanych wiedziało o ustawowym obowiązku szyfrowania takich komputerów, jeśli są one wynoszone poza siedzibę przedsiębiorstwa. Aż 46% ankietowanych zadeklarowało, że w Polsce nie ma obowiązku stosowania rozwiązania kryptograficznego. Tymczasem obowiązująca regulacja stanowi jednoznacznie, że "Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania (...) stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych." [rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r.].
Nieznajomość prawa nie oznacza jednak, że polskie firmy nie zauważają niebezpieczeństw, na jakie może narazić je lekceważące podejście do ochrony danych. Większość ankietowanych przyznała (88%), że utrata danych wpłynęłaby negatywnie na ich działalność, powodując konsekwencje finansowe, prawne lub utratę zlecenia, a nawet klienta. Wśród negatywnych konsekwencji utraty danych ankietowani wskazali również na niebezpieczeństwo zaistnienia konieczności zawieszenia lub zamknięcia działalności gospodarczej!
- W świecie globalizacji, nowych technologii, wszechobecnego internetu troska przedsiębiorstw o bezpieczeństwo danych w służbowych komputerach ma ogromne znaczenie. Utrata niektórych informacji może sparaliżować funkcjonowanie firmy, a na pewno utrudnić prowadzenie działalności gospodarczej - komentuje wyniki badań Henryka Bochniarz, prezydent PKPP Lewiatan.
Sytuację pogarsza fakt, że ewentualne sytuacje kryzysowe firmy prowokują samodzielnie - 41% ankietowanych przyznało, iż w ich przedsiębiorstwach pracownicy mogą kopiować na nośniki zewnętrzne dowolne dane! Oznacza to, że w firmach tych realny jest scenariusz, kiedy to szeregowy pracownik kopiuje na swój pendrive firmową bazę klientów lub projekt, nad którym przedsiębiorstwo pracuje od wielu miesięcy. Zdobyte w ten sposób pliki mogą być później sprzedane konkurencji lub posłużyć do szantażu. Takie przypadki kradzieży danych naprawdę się zdarzają - potwierdzili to sami ankietowani.
- Informatycy rozumieją konsekwencje utraty czy ujawnienia danych i znają konkretne przypadki nadużyć w tym zakresie. Wyzwaniem dla tych samych informatyków jest jednak tłumaczenie trudnego świata IT ludziom biznesu, czyli zarządom i prezesom przedsiębiorstw. Te dwa światy nie potrafią się ze sobą skutecznie porozumieć, przez co w rodzimych firmach brakuje zasobów na odpowiednią ochronę danych i brak jest konsekwentnych polityk bezpieczeństwa - mówi Paweł Jurek, wicedyrektor ds. rozwoju katowickiej firmy DAGMA, specjalizującej się w bezpieczeństwie informatycznym.
Polskie firmy wydają się dostrzegać problem zapewnienia sobie należytego bezpieczeństwa IT i jak twierdzi ponad połowa badanych (56%) ich przedsiębiorstwa szkolą swoich pracowników z zakresu reguł bezpieczeństwa informatycznego obowiązujących w pracy. Podczas tego typu szkoleń pracownicy dowiadują się, m.in. których stron nie powinni odwiedzać w godzinach pracy, czy też dlaczego nie powinno się podawać haseł, zabezpieczających dostęp do firmowego komputera osobom trzecim itd. Niestety 36% rodzimych przedsiębiorstw tego typu szkoleń nie organizuje w ogóle, wymawiając się najczęściej brakiem środków finansowych lub brakiem czasu. Tymczasem prawidłowa edukacja pracowników, połączona z wprowadzeniem spójnej polityki bezpieczeństwa, mogłaby zlikwidować ryzyko kosztownych i często kłopotliwych konsekwencji, związanych z utratą firmowych danych.
Badanie zostało przeprowadzone na grupie 112 przedstawicieli polskich przedsiębiorstw za pomocą ankiety elektronicznej, udostępnionej na platformie ebadania.pl.
