ubezpieczenie cyber polisa cybernetyczna ryzyko cyber dane osobowe

Jak firmie może zaszkodzić malware?

Złośliwe oprogramowanie

Malware to szerokie pojęcie obejmujące programy czy fragmenty kodów zaprojektowane do wykonywania operacji na komputerach, urządzeniach mobilnych, systemach komputerowych i sieciach, do których uzyskają dostęp. Aby malware mógł zaszkodzić firmie potrzebna jest zgoda na jego instalację lub czasami odwiedzenie zainfekowanej witryny. W każdym wypadku zarażenie zawsze wyzwala nieświadomy użytkownik – w przypadku przedsiębiorstw – pracownik czy właściciel. W jaki sposób?

  • przeglądanie zainfekowanych stron,
  • pobieranie zainfekowanych plików,
  • instalowanie i konfigurowanie programów, dodatków od nieznanego dostawcy, z nieznanego, niesprawdzonego źródła,
  • instalowanie aplikacji, uzyskujących dostęp do danych,
  • otwieranie zainfekowanych załączników wiadomości,
  • inne czynności związane z pobieraniem plików z internetu,
  • korzystanie z urządzeń niedostatecznie lub w ogóle niezabezpieczonych.

Jak szkodzi?

  • kradzież, szyfrowanie lub usunięcie danych klientów lub poufnych danych firmowych,
  • szpiegowanie działań na komputerze firmowym,
  • wykorzystywanie mocy przerobowej komputerów firmowych do własnych celów np. zarabiania wirtualnej waluty,
  • blokowanie urządzeń,
  • cyber przestępca może kraść dane lub dezintegrować działanie urządzeń w celu żądania okupu.

Co to oznacza dla firmy? Zarażenie urządzeń firmowych malware to przede wszystkim niebezpieczeństwo cyber ataku na dane klientów lub informacje firmowe (takie jak know how, dane do logowań, dane kart płatniczych). Konsekwencją działania wirusa może być również przestój w działalności, wynikający z blokady dostępu do urządzeń, sieci, utraty danych czy czasu potrzebnego na zgromadzenie środków na okup. W każdym z następstw zainfekowania szkodliwym malware przedsiębiorstwo narażone jest na wysokie koszty.

Jak sprawdzić czy urządzenia firmowe zarażone są malware?

Jeśli zauważysz niepokojące zmiany takie jak:

  • wolne działanie urządzenia, częste zawieszanie się lub wyświetlanie się niebieskiego ekranu,
  • akumulatory w urządzeniach mobilnych szybko się rozładowują,
  • telefon sam włącza Wi – Fi,
  • często wyskakujące okienka reklamowe,
  • zmniejszenie się miejsca na dysku,
  • przeglądarka zmienia się, działa wolno, pojawia się nowy pasek zadań,
  • program antywirusowy przestaje działać,
  • komputer pracuje z dużą mocą, wentylator działa z pełną prędkością,
  • klienci informują o dziwnych telefonach czy e-mailach

skontaktuj się z informatykiem. Niestety malware może również zainfekować system firmowy bez zauważalnych zmian. Wyjątkowo szkodliwe programy mogą niedostrzegalnie wykraść dane lub wykorzystać urządzenia firmowe do rozprzestrzeniania się na urządzenia klientów.

Zabezpiecz się!

Przedsiębiorca powinien być świadomy, że malware atakuje nie tylko komputery ale także, jak wskazują statystyki z ostatnich lat, urządzenia mobilne. Smartfony i tablety padają celem cyber ataków, ponieważ ich użytkownicy znacznie rzadziej je zabezpieczają. Warto również wiedzieć, że mimo obiegowej opinii system Mac jest podatny tak samo na zagrożenia, jak system Windows. Liczba wariantów i odmian nowo powstających wirusów jest tak przytłaczająco duża, że poza dobrej jakości programem antywirusowym i wszelkim zabezpieczeniami systemów firmowych przedsiębiorca powinien także rozważyć posiadanie dobrej cyber polisy. Ubezpieczenie od ryzyk cybernetycznych zabezpiecza firmę przed wysokimi kosztami cyber ataków i pozwala na zachowanie dobrej renomy również w przypadku wycieku danych klientów.

 

Czytaj kolejny

ubezpieczenie cyber polisa cyber przetwarzanie danych osobowych

Czy moja firma przetwarza dane osobowe?

Przetwarzanie danych osobowych

Każdy obywatel Rzeczypospolitej Polskiej posiada konstytucyjnie zagwarantowane prawo do prywatności i ochrony jego danych. Prawo to ponadto normowane jest przez szereg ustaw i rozporządzeń, których przepisy obowiązują podmioty przetwarzające dane osobowe. Firma prowadząc swoją działalność za pomocą Internetu, np. generując bazy adresowe klientów na komputerach podłączonych do sieci, prowadząc akcje meilingowe, newsletterowe czy smsowe przetwarza dane osobowe. To istotne, aby przedsiębiorcy mieli świadomość, że podlegają wówczas uregulowaniom prawnym a nieścisłości i uchybienia w kwestii bezpieczeństwa posiadanych danych podlegają karom.

Kary

O nałożeniu kary i jej wysokości decyduje Prezes Urzędu Ochrony Danych Osobowych. Wysokość grzywien ustalona została w dwóch progach – do 10 mln euro lub 2% rocznego obrotu oraz do 20 mln euro lub 4% rocznego obrotu. Od tego do jakiego progu odwoła się UODO zależy rodzaj naruszenia przepisów prawa o ochronie danych osobowych. Poza karami finansowymi ustawa przewiduje również kary pozbawienia wolności do lat 2 i do lat 3 w przypadku danych wrażliwych. W jakich sytuacjach przedsiębiorstwo może naruszyć normy przetwarzania danych?

Umowa powierzenia przetwarzania danych osobowych

Jeśli przedsiębiorca zleci firmie zewnętrznej np. informatycznej czy księgowej realizację usług, wymagających przekazania danych osobowych zobowiązany jest do sporządzenia umowy powierzenia przetwarzania danych osobowych. W przeciwnym wypadku może liczyć się z nałożeniem kary do wysokości pierwszego progu.

Zgłoszenie incydentu wycieku danych

W firmie prawniczej doszło do cyber kradzieży medycznych dokumentacji przekazywanych przez klientów na potrzeby procesowe. Administrator danych w ciągu 72 godzin nie zgłosił powyższego incydentu organowi nadzorczemu. W takim wypadku na kancelarię prawniczą może zostać nałożona kara do wysokości pierwszego progu.

Bezpieczeństwo danych

Pracownik agencji reklamowej zabrał do domu służbowy laptop, na którym zapisał tabelę z danymi klientów – imię i nazwisko oraz dane teleadresowe. Pracodawca nie zadbał jednak o zabezpieczenie sprzętu pracowniczego i nie zakodowano firmowych laptopów. Podczas drogi do domu pracownikowi agencji skradziono komputer z danymi klientów. Nie przestrzeganie zasady bezpieczeństwa przetwarzanych danych, z jakim mamy do czynienia w tym przypadku również karane jest grzywną pierwszego progu.

Zasada celowości

Firma gromadziła dane klientów na potrzeby zawarcia i realizacji umowy o świadczenie usług. Jeden z klientów nie wyraził zgody na przetwarzanie jego danych osobowych dla celów marketingowych. Po wygaśnięciu umowy, otrzymywał jednak oferty reklamowe od firmy. W tym przypadku mamy do czynienia z naruszeniem zasady celowości. Pierwotnym celem przetwarzania danych było bowiem zawarcie umowy z klientem. Po wygaśnięciu umowy natomiast, bez zgody klienta dalsze przetwarzanie danych do innych celów jest niezgodne z ustawą. Gdyby UODO nałożył karę grzywny na firmę, jej wysokość określałby w niniejszym przypadku próg drugi.

Zgoda na przetwarzanie danych

Sklep internetowy sprzedający zabawki zbiera od klientów zgody na przetwarzanie danych osobowych w celach marketingowych w połączeniu ze zgodą na przesyłanie informacji handlowych drogą elektroniczną. Klient może więc zaznaczyć obie zgody jednocześnie lub żadnej z nich. To praktyka nie zgodna z prawem, bowiem klient pozbawiony jest możliwości wyrażenia zgody na przetwarzanie jego danych osobowych w jednym konkretnym celu w sposób jednoznaczny. W takie sytuacji UODO nakłada grzywnę do wysokości drugiego progu.

Od czego zależy wysokość kary?

Jak czytamy w rozporządzeniu RODO, wysokość kar uzależniona jest od kilku czynników:

  • charakteru (umyślne czy nieumyślne) i czasu trwania naruszenia prawa,
  • skali poszkodowanych osób,
  • rozmiarów szkody poniesionych przez klientów,
  • wcześniejszych naruszeń prawa o ochronie danych osobowych przez kontrolowaną firmę.

Co ważne, inspektorzy UODO za każde uchybienie mogą nałożyć odrębną karę.

Przetwarzanie danych

Z powyższego wynika zatem, jak istotne znaczenie ma fakt uświadomienia sobie przez przedsiębiorcę, że realizując swoja działalność, dokonuje opartego na ściśle określonych zasadach prawa przetwarzania danych. Jeśli zatem firma wykonuje jedną lub kilka z poniższych czynności:

  • zbiera,
  •  utrwala,
  •  organizuje,
  •  porządkuje,
  •  przechowuje,
  •  adaptuje,
  •  modyfikuje,
  •  pobiera,
  •  przegląda,
  •  wykorzystuje,
  •  ujawnia poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie,
  •  dopasowuje, łączy,
  •  ogranicza,
  •  usuwa i niszczy

dane osobowe swoich klientów, zwłaszcza jeśli dokonuje je w systemach informatycznych, to przetwarza dane osobowe.

Zabezpieczenie

Firmy przetwarzające dane osobowe narażone są na ryzyko kosztów nie tylko kar administracyjnych. To także koszty cyber ataków, zadośćuczynień i odszkodowań, naprawy zaistniałych incydentów, odzyskania reputacji czy przestojów w działalności. Ze względu na nieustanny rozwój cyber przestępczości, w zasadzie nie istnieją rozwiązania dające 100 % pewność ochrony przed naruszeniem bezpieczeństwa przetwarzanych danych. Dlatego racjonalnym rozwiązaniem jest zabezpieczenie się na okoliczność kosztów odpowiednią polisą od ryzyk cybernetycznych.

 

Czytaj kolejny