ubezpieczenie cyber ubezpieczenie od ryzyk cybernetycznych

Czym jest phishing?

Phishing

Sekretarka otrzymała wiadomość mailową z banku o konieczności aktualizacji konta firmowego poprzez podanie danych firmowej karty kredytowej. Ponieważ wiadomość wyglądała, jak typowy mail z banku, jakie otrzymywała wcześniej, nie wzbudził jej podejrzeń. Sekretarka posiadała firmową kartę do opłacania drobnych usług i nie chcąc angażować księgowej, z którą nie miała dobrych relacji pracowniczych, postanowiła sama odpowiedzieć na wiadomość z banku. Po kilku dniach bezskutecznie próbowała użyć karty firmowej.  Po rozmowie z konsultantem z infolinii bankowej dowiedziała się, że w ciągu ostatnich kilku dni dokonano kilkunastu różnych operacji, wypłacając wszystkie dostępne środki z konta, do którego przypisana była jej karta.

Manipulacja

Powyższy przykład obrazuje, w jaki sposób działa phishing, jedno z najbardziej powszechnych cyber przestępstw. Mechanizm wyłudzenia danych opiera się w tym przypadku na znalezieniu słabego punktu użytkownika sieci. Cyber przestępcy nie usiłują złamać systemu zabezpieczeń. Skupiają się raczej na uśpieniu czujności użytkownika, rutynie, naiwności czy nawet złej komunikacji wśród pracowników. Zdarza się, że fałszywe wiadomości do złudzenia przypominają informacje z istniejących firm czy organizacji (banków, agencji rządowych, internetowych systemów płatności, firm kurierskich)– zawierają prawdziwe logotypy i obowiązującą szatę graficzną. Ich celem jest nakłonienie odbiorcy do podania danych (mogą to być dane osobowe, dane kart płatniczych lub dane do logowania) przeważnie w celu aktualizacji, zatwierdzenia czy usunięcia błędu. Kliknięcie w załączony link przekierowuje użytkownika na fałszywą stronę, z poziomu której nakłania się go do ujawnienia danych. Ze względu na powszechność i skuteczność phishingu wyodrębniono trzy jego specjalizacje.

Spersonalizowany

Tak zwany spear phishing kierowany jest na konkretną osobę lub firmę. Poprzedza go proces zbierania informacji na temat celu cyber ataku. Dobrze przygotowany cyber przestępca jest niezwykle skuteczny w wyłudzeniu informacji i może stanowić poważne zagrożenie dla przedsiębiorstwa. Znanym przykładem spersonalizowanego phishingu był cyber atak na konto emailowe Hilary Clinton.

Klonowanie

To przykład kopiowania treści i wyglądu prawdziwych maili. Fałszuje się załączniki lub linki oraz adres nadawcy tak, aby wyglądały na oryginalne.

Whaling

Kierowany jest, używając kolokwializmu, na „grubą rybę” a więc na managerów wyższego szczebla czy duże przedsiębiorstwa branży biznesowej. Wymaga precyzyjnego przygotowania ze strony cyber przestępcy w zdobyciu szczegółowych informacji na temat wybranego celu. Często są to sfałszowane wiadomości pochodzące z kancelarii prawniczych czy urzędów państwowych, nakłaniające do instalacji złośliwego oprogramowania, które ściąga poufne dane firmowe.

Jak rozpoznać phishing?

Przede wszystkim trzymaj się zasady ograniczonego zaufania w stosunku do wszelkich wiadomości mailowych typu:

  • „Jeśli nie podasz swoich danych osobowych, Twoje konto zostanie NIEODWRACALNIE ZABLOKOWANE!”
  • „Aby aktualizować konto, kliknij w link, podaj dane użytkownika i hasło”
  • „Witaj. Prosimy o niezwłoczne opłacenie zaległej faktury. Pobierz fakturę.”

Zwróć uwagę na poszczególne elementy wiadomości:

  •  link (nie klikaj ale najedź na niego myszką, powinna pokazać się pełna nazwa),
  •  sposób zapisania załączonych plików (dlaczego faktura zapisana w pliku .rar?),
  •  błędy w pisowni,
  •  jakość grafiki,
  •  adres domeny (drobne zmiany np. zamiast .gov jest .com).

Nie klikaj w linki i załączniki podejrzanie wyglądających wiadomości.

Konsekwencje

Przedsiębiorstwo stające się ofiarą cyber ataku narażone jest na:

  • koszty wynikające z przekazania danych logowania do kont,
  • utratę know how, poufnych informacji firmowych,
  • koszty naprawy szkody powstałej w wyniku incydentu,
  • utratę reputacji,
  • koszty odszkodowań,
  • utratę danych osobowych klientów,
  • przestój w działalności,
  • koszty kar administracyjnych,
  • utratę płynności finansowej,
  • koszty przywrócenia bezpiecznego stanu, odzyskania utraconych danych.

Zabezpiecz się

Liczba cyber ataków z wykorzystaniem phishingu stale rośnie.  W III kwartale 2018 roku wykryto ponad 137 mln prób odwiedzenia stron phishingowych, co stanowi ponad połowę liczby odnotowanej w całym roku 2017. Na rynku polskim dostępne są dobrej jakości produkty ubezpieczeniowe zabezpieczające firmy na wypadek cyber ataku. Właściwie dobrana ochrona powinna stanowić element zarządzania ryzykiem zwłaszcza w  przypadku przedsiębiorstw korzystających z systemów teleinformatycznych , specjalistycznych oprogramowań, zintegrowanych rozwiązań informatycznych. Także firmy przetwarzające dane osobowe swoich klientów, szczególnie jeśli są to dane wrażliwe powinny zabezpieczyć się odpowiednią polisą od skutków cyber ataków.

 

Czytaj kolejny

ubezpieczenie cyber polisa cyber przetwarzanie danych osobowych

Czy moja firma przetwarza dane osobowe?

Przetwarzanie danych osobowych

Każdy obywatel Rzeczypospolitej Polskiej posiada konstytucyjnie zagwarantowane prawo do prywatności i ochrony jego danych. Prawo to ponadto normowane jest przez szereg ustaw i rozporządzeń, których przepisy obowiązują podmioty przetwarzające dane osobowe. Firma prowadząc swoją działalność za pomocą Internetu, np. generując bazy adresowe klientów na komputerach podłączonych do sieci, prowadząc akcje meilingowe, newsletterowe czy smsowe przetwarza dane osobowe. To istotne, aby przedsiębiorcy mieli świadomość, że podlegają wówczas uregulowaniom prawnym a nieścisłości i uchybienia w kwestii bezpieczeństwa posiadanych danych podlegają karom.

Kary

O nałożeniu kary i jej wysokości decyduje Prezes Urzędu Ochrony Danych Osobowych. Wysokość grzywien ustalona została w dwóch progach – do 10 mln euro lub 2% rocznego obrotu oraz do 20 mln euro lub 4% rocznego obrotu. Od tego do jakiego progu odwoła się UODO zależy rodzaj naruszenia przepisów prawa o ochronie danych osobowych. Poza karami finansowymi ustawa przewiduje również kary pozbawienia wolności do lat 2 i do lat 3 w przypadku danych wrażliwych. W jakich sytuacjach przedsiębiorstwo może naruszyć normy przetwarzania danych?

Umowa powierzenia przetwarzania danych osobowych

Jeśli przedsiębiorca zleci firmie zewnętrznej np. informatycznej czy księgowej realizację usług, wymagających przekazania danych osobowych zobowiązany jest do sporządzenia umowy powierzenia przetwarzania danych osobowych. W przeciwnym wypadku może liczyć się z nałożeniem kary do wysokości pierwszego progu.

Zgłoszenie incydentu wycieku danych

W firmie prawniczej doszło do cyber kradzieży medycznych dokumentacji przekazywanych przez klientów na potrzeby procesowe. Administrator danych w ciągu 72 godzin nie zgłosił powyższego incydentu organowi nadzorczemu. W takim wypadku na kancelarię prawniczą może zostać nałożona kara do wysokości pierwszego progu.

Bezpieczeństwo danych

Pracownik agencji reklamowej zabrał do domu służbowy laptop, na którym zapisał tabelę z danymi klientów – imię i nazwisko oraz dane teleadresowe. Pracodawca nie zadbał jednak o zabezpieczenie sprzętu pracowniczego i nie zakodowano firmowych laptopów. Podczas drogi do domu pracownikowi agencji skradziono komputer z danymi klientów. Nie przestrzeganie zasady bezpieczeństwa przetwarzanych danych, z jakim mamy do czynienia w tym przypadku również karane jest grzywną pierwszego progu.

Zasada celowości

Firma gromadziła dane klientów na potrzeby zawarcia i realizacji umowy o świadczenie usług. Jeden z klientów nie wyraził zgody na przetwarzanie jego danych osobowych dla celów marketingowych. Po wygaśnięciu umowy, otrzymywał jednak oferty reklamowe od firmy. W tym przypadku mamy do czynienia z naruszeniem zasady celowości. Pierwotnym celem przetwarzania danych było bowiem zawarcie umowy z klientem. Po wygaśnięciu umowy natomiast, bez zgody klienta dalsze przetwarzanie danych do innych celów jest niezgodne z ustawą. Gdyby UODO nałożył karę grzywny na firmę, jej wysokość określałby w niniejszym przypadku próg drugi.

Zgoda na przetwarzanie danych

Sklep internetowy sprzedający zabawki zbiera od klientów zgody na przetwarzanie danych osobowych w celach marketingowych w połączeniu ze zgodą na przesyłanie informacji handlowych drogą elektroniczną. Klient może więc zaznaczyć obie zgody jednocześnie lub żadnej z nich. To praktyka nie zgodna z prawem, bowiem klient pozbawiony jest możliwości wyrażenia zgody na przetwarzanie jego danych osobowych w jednym konkretnym celu w sposób jednoznaczny. W takie sytuacji UODO nakłada grzywnę do wysokości drugiego progu.

Od czego zależy wysokość kary?

Jak czytamy w rozporządzeniu RODO, wysokość kar uzależniona jest od kilku czynników:

  • charakteru (umyślne czy nieumyślne) i czasu trwania naruszenia prawa,
  • skali poszkodowanych osób,
  • rozmiarów szkody poniesionych przez klientów,
  • wcześniejszych naruszeń prawa o ochronie danych osobowych przez kontrolowaną firmę.

Co ważne, inspektorzy UODO za każde uchybienie mogą nałożyć odrębną karę.

Przetwarzanie danych

Z powyższego wynika zatem, jak istotne znaczenie ma fakt uświadomienia sobie przez przedsiębiorcę, że realizując swoja działalność, dokonuje opartego na ściśle określonych zasadach prawa przetwarzania danych. Jeśli zatem firma wykonuje jedną lub kilka z poniższych czynności:

  • zbiera,
  •  utrwala,
  •  organizuje,
  •  porządkuje,
  •  przechowuje,
  •  adaptuje,
  •  modyfikuje,
  •  pobiera,
  •  przegląda,
  •  wykorzystuje,
  •  ujawnia poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie,
  •  dopasowuje, łączy,
  •  ogranicza,
  •  usuwa i niszczy

dane osobowe swoich klientów, zwłaszcza jeśli dokonuje je w systemach informatycznych, to przetwarza dane osobowe.

Zabezpieczenie

Firmy przetwarzające dane osobowe narażone są na ryzyko kosztów nie tylko kar administracyjnych. To także koszty cyber ataków, zadośćuczynień i odszkodowań, naprawy zaistniałych incydentów, odzyskania reputacji czy przestojów w działalności. Ze względu na nieustanny rozwój cyber przestępczości, w zasadzie nie istnieją rozwiązania dające 100 % pewność ochrony przed naruszeniem bezpieczeństwa przetwarzanych danych. Dlatego racjonalnym rozwiązaniem jest zabezpieczenie się na okoliczność kosztów odpowiednią polisą od ryzyk cybernetycznych.

 

Czytaj kolejny