Dziewięć na dziesięć osób wykorzystuje w pracy pendrive'y. Tyle samo je gubi

Gdy przepisy związane z RODO zaczną być egzekwowane, posypią się kary.

Nie dość, że pamięć USB łatwo jest utracić, to w dodatku pracownicy nie zgłaszają tego zdarzenia swojej firmie. Co gorsza, dane w podręcznej pamięci najczęściej nie są zaszyfrowane ani chronione hasłem.

Na pendrive'ach zapisywane są kluczowe dla organizacji dane, szczegóły realizowanych projektów, a także dane osobowe. To może się okazać bardzo kosztowne, bowiem od 25 maja 2018 roku za niewłaściwą ochronę danych osobowych grozić będą poważne sankcje finansowe. Zacznie być egzekwowane RODO – Rozporządzenie o ochronie danych osobowych (z ang. GDPR).

RODO wymusza stosowanie odpowiednich procedur oraz zabezpieczeń, przy czym szyfrowanie danych jest podstawowym wymogiem. O ile część firm opracowało procedury dotyczące bezpiecznego korzystania z pamięci USB i zgłaszania utraty nośników, to jednak z ich stosowaniem bywa bardzo różnie.

Bezpieczeństwo danych ma wysoki priorytet. W teorii 

W najnowszej ankiecie firmy Apricorn aż 9 na 10 specjalistów IT potwierdza częste korzystanie z przenośnych pamięci flash w miejscu pracy. Objętość danych krążących między setkami drobnych dysków nie musi iść w gigabajty, bo kluczowa jest ich zawartość. Wystarczy paczka skanów z umowami o pracę - niewielka, ale na tyle duża, by nie zmieściła się jako załącznik w firmowej poczcie. Jak wygląda bezpieczeństwo tysięcy podobnych transferów?

80 proc. uczestników badania twierdzi, że ochrona danych stanowi dla nich "wysoki priorytet" i podobnie jest w miejscach ich zatrudnienia. Blisko 58 proc. posiada adekwatne zabezpieczenia i procedury korzystania z pamięci flash, a 54 proc. korzysta z rozwiązań DLP (data-leak-protection) wykrywających nieautoryzowane kopiowanie na USB poufnych danych. Połowa badanych firm wymaga zgłaszania utraty pamięci przenośnych, a 49 proc. umożliwia pracownikom korzystanie wyłącznie z zaaprobowanych dysków. Tyle teorii, bo rzeczywistość wygląda inaczej.

Chociaż 50 proc. badanych zobligowanych jest pytać o pozwolenie na użycie USB – realnie robi to tylko 15 proc. Z kolei 8 na 10 pracowników używa w pracy zewnętrznych napędów otrzymanych np. jako gadżety reklamowe podczas branżowych eventów. Ilu poprosi administratora o sprawdzenie pamięci przed jej wpięciem w firmową infrastrukturę? Danych brak, ale można przypuszczać, że nie będzie ich wielu. Nieduża jest też grupa korzystająca z szyfrowania. Mimo że to de facto podstawowy środek bezpieczeństwa przy przenoszeniu danych korzysta z niego tylko 20 proc. badanych specjalistów.

Zgubić można naprawdę kluczowe dane 

Ktoś mógłby powiedzieć, że statystyki nie są wprawdzie najlepsze, jednak dyski USB wcale nie gubią się tak często. Otóż gubią - aż 87 proc. specjalistów biorących udział w badaniu ma za sobą przynajmniej jedną niezgłoszoną utratę pamięci flash z firmowymi danymi. Większość z nich zawierała prawdopodobnie statystyki i projekty, których utrata była co prawda kłopotliwa i kosztowna (również wizerunkowo), ale nie zagroziła niczyjemu życiu tak, jak ostatnia wpadka służb bezpieczeństwa brytyjskiego lotniska Heathrow.

29 października na londyńskiej ulicy znaleziono niezaszyfrowany pendrive z poufnymi i wrażliwymi danymi o zabezpieczeniach lotniska i sposobach korzystania z niego przez brytyjską królową, ministrów i zagranicznych gości. Ani sam dysk, ani dane na nim zawarte nie były chronione nawet prostym hasłem. Eksperci ANZENY przypominają, że według statystyk z 2016 lotnisko codziennie odwiedza blisko 207 tysięcy osób. Jeśli mapy monitoringu i opisy systemów antyterrorystycznych z dysku trafiłyby do osoby o złych intencjach, to potencjalna katastrofa czy planowany atak terrorystyczny byłyby praktycznie nie do wykrycia.

Firma ANZENA przypomina, że niezabezpieczone dyski stwarzają podwójne zagrożenie - wycieku danych, ale też niebezpiecznej infekcji szyfrującej lub innego ataku wirusowego. W przypadku portów USB częściowym rozwiązaniem jest ich blokada i dopuszczenie tylko nośników szyfrowanych. Warto też pamiętać o dodatkowym zabezpieczeniu w postaci dedykowanego rozwiązania DLP. Eksperci przypominają, że firmy i organizacje powinny jak najdokładniej kontrolować przepływ swoich danych, zwłaszcza gdy te opuszczają firmę. W kontekście RODO, tego zalecenia nie wolno dłużej traktować jako branżowej mantry. Należy je po prostu wdrożyć.

Pobierz ebook "Social media marketing dla firm i agencje się w nim specjalizujące"