ubezpieczenie cyber polisa cybernetyczna ryzyko cyber dane osobowe

Jak firmie może zaszkodzić malware?

Złośliwe oprogramowanie

Malware to szerokie pojęcie obejmujące programy czy fragmenty kodów zaprojektowane do wykonywania operacji na komputerach, urządzeniach mobilnych, systemach komputerowych i sieciach, do których uzyskają dostęp. Aby malware mógł zaszkodzić firmie potrzebna jest zgoda na jego instalację lub czasami odwiedzenie zainfekowanej witryny. W każdym wypadku zarażenie zawsze wyzwala nieświadomy użytkownik – w przypadku przedsiębiorstw – pracownik czy właściciel. W jaki sposób?

  • przeglądanie zainfekowanych stron,
  • pobieranie zainfekowanych plików,
  • instalowanie i konfigurowanie programów, dodatków od nieznanego dostawcy, z nieznanego, niesprawdzonego źródła,
  • instalowanie aplikacji, uzyskujących dostęp do danych,
  • otwieranie zainfekowanych załączników wiadomości,
  • inne czynności związane z pobieraniem plików z internetu,
  • korzystanie z urządzeń niedostatecznie lub w ogóle niezabezpieczonych.

Jak szkodzi?

  • kradzież, szyfrowanie lub usunięcie danych klientów lub poufnych danych firmowych,
  • szpiegowanie działań na komputerze firmowym,
  • wykorzystywanie mocy przerobowej komputerów firmowych do własnych celów np. zarabiania wirtualnej waluty,
  • blokowanie urządzeń,
  • cyber przestępca może kraść dane lub dezintegrować działanie urządzeń w celu żądania okupu.

Co to oznacza dla firmy? Zarażenie urządzeń firmowych malware to przede wszystkim niebezpieczeństwo cyber ataku na dane klientów lub informacje firmowe (takie jak know how, dane do logowań, dane kart płatniczych). Konsekwencją działania wirusa może być również przestój w działalności, wynikający z blokady dostępu do urządzeń, sieci, utraty danych czy czasu potrzebnego na zgromadzenie środków na okup. W każdym z następstw zainfekowania szkodliwym malware przedsiębiorstwo narażone jest na wysokie koszty.

Jak sprawdzić czy urządzenia firmowe zarażone są malware?

Jeśli zauważysz niepokojące zmiany takie jak:

  • wolne działanie urządzenia, częste zawieszanie się lub wyświetlanie się niebieskiego ekranu,
  • akumulatory w urządzeniach mobilnych szybko się rozładowują,
  • telefon sam włącza Wi – Fi,
  • często wyskakujące okienka reklamowe,
  • zmniejszenie się miejsca na dysku,
  • przeglądarka zmienia się, działa wolno, pojawia się nowy pasek zadań,
  • program antywirusowy przestaje działać,
  • komputer pracuje z dużą mocą, wentylator działa z pełną prędkością,
  • klienci informują o dziwnych telefonach czy e-mailach

skontaktuj się z informatykiem. Niestety malware może również zainfekować system firmowy bez zauważalnych zmian. Wyjątkowo szkodliwe programy mogą niedostrzegalnie wykraść dane lub wykorzystać urządzenia firmowe do rozprzestrzeniania się na urządzenia klientów.

Zabezpiecz się!

Przedsiębiorca powinien być świadomy, że malware atakuje nie tylko komputery ale także, jak wskazują statystyki z ostatnich lat, urządzenia mobilne. Smartfony i tablety padają celem cyber ataków, ponieważ ich użytkownicy znacznie rzadziej je zabezpieczają. Warto również wiedzieć, że mimo obiegowej opinii system Mac jest podatny tak samo na zagrożenia, jak system Windows. Liczba wariantów i odmian nowo powstających wirusów jest tak przytłaczająco duża, że poza dobrej jakości programem antywirusowym i wszelkim zabezpieczeniami systemów firmowych przedsiębiorca powinien także rozważyć posiadanie dobrej cyber polisy. Ubezpieczenie od ryzyk cybernetycznych zabezpiecza firmę przed wysokimi kosztami cyber ataków i pozwala na zachowanie dobrej renomy również w przypadku wycieku danych klientów.

 

Czytaj kolejny

ubezpieczenie cyber ryzyko cyber ataku dane osobowe dane wrażliwe

Dane osobowe

Definicja

Ustawa o ochronie danych osobowych (UODO) z 1997 roku definiuje dane osobowe jako wszelkie informacje (imię i nazwisko, numer identyfikacyjny, jeden lub kilka specyficznych czynników określających cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne), które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. RODO uściśla powyższą definicję dodając do czynników umożliwiających identyfikację: dane o lokalizacji, identyfikator internetowy oraz czynnik określający cechy genetyczne. Jak należy rozumieć nowe terminy wprowadzone przez RODO?

Geodane

Dane o lokalizacji odnoszą się do informacji wytwarzanych przez użytkowników aplikacji mobilnych. Są to wszelkie informacje wskazujące położenie geograficzne urządzenia użytkownika publicznej usługi łączności elektronicznej (wg regulacji PECR). Obejmują one również informacje o wymiarach urządzenia, kierunku przemieszczania się użytkownika, czasie rejestracji danych o lokalizacji. Geodane pozyskiwane z wbudowanych w urządzenia nadajników GPS, Bluetootha czy Wi-Fi połączone z konkretnym użytkownikiem mogą stanowić identyfikator osoby fizycznej, np. częste wizyty w szpitalu onkoligicznym, generowane przez aplikacje do zamawiania przejazdów. Jakie urządzenia i aplikacje mogą tworzyć dane o lokalizacji? To między innymi wszelkie aplikacje mapowe, pogodowe, do łączenia kierowców i pasażerów i połączone z nimi smartfony i tablety czy krokomierze połączone z aplikacjami fitness.

Identyfikator internetowy

To wszelkie identyfikatory przypisane użytkownikom przez ich urządzenia, aplikacje, narzędzia, protokoły, etykiety RFID itp., które pozostawiają ślady obecności użytkownika. W połączeniu z unikatowymi identyfikatorami i innymi danymi pozyskiwanymi przez serwery mogą tworzyć profile, służące do identyfikowania osób fizycznych. Gdzie spotykamy się z identyfikatorem internetowym? Popularne identyfikatory to adresy IP komputerów, pliki cookie, kody kreskowe na zakupionych produktach lub przyklejone na walizkach, chipy wszyte w ubrania.

Dane genetyczne

To wyjątkowe, niepowtarzalne informacje o fizjologii i stanie zdrowia osoby fizycznej, od której pobrano próbkę biologiczną. Pozwalają nie tylko na jednoznaczną identyfikację konkretnej osoby ale także na pozyskanie informacji na temat cech jej rodziny. Dane genetyczne pobierane są podczas badań, w tym także prenatalnych i mogą być gromadzone dla celów naukowych w tzw. biobankach. Ze względu na ich wartość ekonomiczną dane genetyczne stają się przedmiotem zainteresowań biznesu, jako potencjalny czynnik minimalizacji ryzyka działalności.

Obok danych genetycznych na uwagę zasługują także dane biometryczne, umożliwiające jednoznaczną identyfikację osoby, od której zostały pobrane. Należą do nich skany linii papilarnych, rysów twarzy czy siatkówki oka. Są to dane, których pobranie od niedawna możliwe jest wyłącznie za dobrowolną zgodą osoby fizycznej.

Kryterium danych osobowych

Zarówno ustawa o ochronie danych osobowych, jak i RODO za główne kryterium uznania informacji umożliwiających identyfikację osoby fizycznej za daną osobową przyjmuje proces i kontekst ich przetwarzania. Ustala się zatem, że dane osobowe to te informacje, które umożliwiają identyfikację niewielkim nakładem pracy – kosztem i czasem, uwzględniając dostępną w momencie ich przetwarzania technologię oraz postęp technologiczny. Kryterium nie jest więc sztywne i opiera się na racjonalnych i prawdopodobnych czynnikach obiektywnych.

Dane wrażliwe

To szczególna kategoria danych osobowych, których przetwarzanie jest zabronione, poza wyjątkami określonymi szczegółowo w ustawie. Jakie informacje są sensytywne?

  • dane ujawniające pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • dane genetyczne,
  • przekonania religijne lub światopoglądowe,
  • dane biometryczne,
  • przynależność do związków zawodowych,
  • informacje dotyczące stanu zdrowia.

Ustawa zakłada, że informacje wrażliwe mogą być przetwarzane tylko w uzasadnionych przypadkach, nie naruszających interesu osoby, której dotyczą lub jeśli osoba wyraziła wyraźną dobrowolną zgodę na ich przetwarzanie. Przypadki te wymieniono enumeratywnie w ust. 2 art. 9 RODO.

Przetwarzanie danych osobowych

Definicja przetwarzania danych osobowych wprowadzona przez ustawę z 1997 roku w zasadzie nie zmieniła się po regulacji RODO. Bardziej szczegółowo dookreślono czynności dokonywane na danych osobowych, jakie uznaje się za przetwarzanie. Są to:

  • zbieranie,
  • utrwalanie,
  • organizowanie,
  • porządkowanie,
  • przechowywanie,
  • adaptowanie,
  • modyfikowanie,
  • pobieranie,
  • przeglądanie,
  • wykorzystywanie,
  • ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie,
  • dopasowanie, łączenie,
  • ograniczanie,
  • usuwanie i niszczenie.

Jeśli przedsiębiorstwo przetwarza dane osobowe, jest zobowiązane przetwarzać je zgodnie z określonymi ustawowo zasadami. Przede wszystkim musi zapewnić danym osobowym klientów optymalną ochronę oraz zatrudniać administratora danych osobowych, odpowiedzialnego za przestrzeganie przepisów o ochronie. Istotne jest również, aby przetwarzać dane wyłącznie w zakresie, w jakim jest to niezbędne. Ponadto przetwarzanie danych osobowych przez przedsiębiorstwo wymaga spełnienia określonych ustawowo warunków:

  • zgody osoby, której dotyczą,
  • przetwarzania danych w sytuacji, gdy jest to niezbędne do: spełnienia obowiązku prawa, realizacji określonych prawem zadań dla dobra publicznego, realizacji prawnie usprawiedliwionych celów wykonywanych przez administratorów  lub odbiorców danych (np. marketing bezpośredni własnych produktów lub usług czy dochodzenie roszczeń z tytułu prowadzonej działalności), realizacji umowy, której stroną jest osoba, której dane zawiera umowa.

Kary

Jeśli przedsiębiorstwa przetwarzające dane osobowe klientów nie przestrzegają przepisów ustawy np. nie zachowując właściwej ochrony lub nie posiadając zgody klientów na przetwarzanie ich danych, muszą liczyć się z konsekwencjami prawnymi. RODO znacząco rozbudowało zakres kar w stosunku do ustawy z 1997 roku. Za naruszenia prawa przepisów o ochronie danych osobowych ustawa przewiduje kary pieniężne w dwóch progach w zależności od rodzaju naruszeń – pierwszy próg to 10 milionów euro lub 2% rocznego obrotu. Taka grzywna może być przyznana za niezgłoszenie naruszeń organowi nadzorczemu lub osobie, której dane dotyczą.  Drugi próg to 20 mln euro lub 4% rocznego obrotu firmy, jako grzywna na przykład za uniemożliwienie skorzystania z „prawa do bycia zapomnianym”. Poza karami finansowymi prawo zakłada również kary pozbawienia wolności do lat 2 i do lat 3 w przypadku danych wrażliwych.

Cyber atak

Przedsiębiorstwo przetwarzające dane osobowe powinno również liczyć się z przestępczością cybernetyczną. Wymuszenie czy kradzież danych osobowych mogą być w skutkach bardziej dotkliwe niż kary, jakie zakłada RODO. Cyber przestępczość jest w zasadzie nieprzewidywalna, ewoluuje wraz z rozwojem zabezpieczeń. Przykłady ze świata pokazują, że nawet największe firmy nie są w stanie zabezpieczyć się przed cyber atakiem. Nie oznacza to, że na kradzież danych narażone są wyłącznie  duże przedsiębiorstwa. Wprost przeciwnie, mała i średnia przedsiębiorczość znacznie częściej staje się celem ataku. Dzieje się tak, ponieważ firmy z sektora MŚP korzystają z przestarzałych lub nieskutecznych rozwiązań zabezpieczających. Zbyt mało firm stosuje także zasady polityki bezpieczeństwa.  Co istotne skutkiem cyber ataku jest nie tylko utrata dobrego imienia i zaufania klientów ale także zaburzenie płynności finansowej firmy.

Cyber ubezpieczenie

Przestój w działalności, koszty przywrócenia bezpiecznego stanu, odzyskania utraconych danych czy kary nałożone przez Urząd Ochrony Danych Osobowych generują niebagatelne straty. Przedsiębiorstwa racjonalnie zarządzające ryzykiem, zabezpieczają się na okoliczności przestępczości cybernetycznej właściwą cyber polisą.

 

Czytaj kolejny