Wyciek danych może zdarzyć się każdej firmie. Jak postępować?

Po wycieku danych firma powinna możliwie szybko poinformować o sprawie poszkodowanych, np. pracowników czy klientów oraz UODO – wskazali eksperci cyberbezpieczeństwa Piotr Brogowski i Jakub Betka. Podkreślili, że zatajanie incydentów tylko pogarsza sytuację.

– Badania potwierdzają, że firmy, którym zdarzył się wyciek danych, ale prawidłowo na niego zareagowały – czyli szybko, sprawnie, zgodnie z prawem, niczego nie ukrywając i powiadamiając osoby, których dane dotyczyły – wychodziły z tego zdecydowanie lepiej niż firmy, które starały się coś ukryć – wskazał ekspert cyberbezpieczeństwa Piotr Brogowski.

Dodał, że jeżeli informacja o wycieku zostanie ujawniona przez osoby trzecie, to nawet jeśli skutki wycieku nie są poważne, renoma firmy zostanie zachwiana.

– Powstaje prawdziwe lub domniemane wrażenie, że firma coś ukrywa, że mataczy, że jej działania i procedury albo nie istnieją, albo nie są właściwe – stwierdził.

Polacy nie rozumieją technologii AI? To generuje duże straty firm, dowiedz się więcej.

Wyciek danych – jakie kroki podjąć najpierw?

Podobne zdanie wyraził ekspert cyberbezpieczeństwa Jakub Betka. – Wciąż jest wiele organizacji, które próbują zamieść wyciek danych pod dywan. To strategia, która nigdy nie działa, a wręcz pogłębia problem.

W takich przypadkach najważniejsza jest transparentność, zarówno wobec pracowników, jak i klientów. To najlepszy sposób na ograniczenie kryzysu wizerunkowego i podejście zgodne z rekomendacjami Prezesa UODO – mówił ekspert.

Jeśli firma odkryje, że doszło do wycieku, najpierw powinna ustalić, jakie dane zostały naruszone, jaki jest poziom ich wrażliwości, ilu osób dotyczy incydent i na tej podstawie podejmować określone działania – tłumaczy Brogowski.

Jedną z pierwszych czynności powinno być sporządzenie dokumentacji incydentu, do czego zobowiązuje przedsiębiorców prawo.

Następnie firma powinna ustalić, co spowodowało wyciek danych – czy był to np. błąd pracownika, czy jest to kwestia ataku hakerskiego. – Jeżeli to drugie, należałoby jak najszybciej podjąć tzw. działania remediacyjne, żeby zatrzymać atak, czy też wypływ danych – wskazał ekspert.

Ataki na klientów polskich banków. Nowa akcja cyberprzestępców, dowiedz się więcej.

Jak napisać wiadomość do poszkodowanych?

Brogowski zauważył, że jeśli okaże się, że doszło do wycieku danych osobowych, kolejnym krokiem powinno być jak najszybsze powiadomienie o incydencie Prezesa Urzędu Ochrony Danych Osobowych, zgodnie z RODO i powiadomienie tych osób, których dane dotyczą lub, którym wyciek danych może zagrażać.

Ekspert zaznacza, że wiadomość do poszkodowanych powinna zawierać informacje jak najbardziej precyzyjne, czyli jakie dane wyciekły i jakie mogą być ewentualne konsekwencje wycieku.

– Dobrze widziane jest przez UODO zamieszczenie zaleceń dla takich osób, czego powinny unikać i na co uważać; żeby np. zwrócić szczególną uwagę na możliwość phishingu, jeśli przykładowo wyciekły adresy e-mail – tłumaczy Brogowski.

Jeśli wyciekły numery PESEL, warto przypomnieć osobom poszkodowanym m.in. o możliwości zastrzeżenia tego numeru, co można zrobić w mObywatelu – dodał Betka.

Zaznaczył, że jeżeli wyciek danych jest skutkiem np. nieuprawnionego dostępu hackerów, sprawę należy zgłosić na policję. Warto też poinformować CERT Polska, który może nam pomóc w analizie zagrożenia i wesprzeć technicznie – wskazał Betka.

Polacy potrzebują edukacji z cyberbezpieczeństwa? AI ma przewagę, dowiedz się więcej.

Pamiętaj o powiadomieniu urzędu UODO

Brogowski pytany, czy zawsze należy powiadamiać UODO o naruszeniu ochrony danych osobowych stwierdził, że z wyjątkiem sytuacji, w których wyciekły dane zanonimizowane albo zaszyfrowane, lepiej jest powiadomić urząd, nawet jeśli ten krok ostatecznie okaże się “na wyrost”.

– To nie jest wielki wysiłek, wystarczy wypełnić formularz dostępny na stronie UODO. To zajmuje chwilę i nikt nam nie zarzuci, że nie dochowaliśmy należytej staranności – powiedział ekspert.

Jak wskazał, firmy powinny podejmować decyzję o zgłoszeniu incydentu na podstawie analizy ryzyka naruszenia praw lub wolności osób dotkniętych naruszeniem.

Ekspert zaznaczył, że zna przypadki, gdzie firmy po wycieku danych przeprowadziły analizę ryzyka i na tej podstawie stwierdziły, że jest ono niskie.

– Firma nie powiadomiła Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ale została ukarana wysoką karą administracyjną, bo po przeprowadzeniu dochodzenia prezes urzędu stwierdził, że w jego ocenie to ryzyko nie było małe – mówił Brogowski.

Polska wśród krajów najbardziej zagrożonych cyberatakami. Kto za tym stoi? Sprawdź!

Jakie są możliwe konsekwencje?

Podkreślił, że nałożenie kary administracyjnej przez PUODO nie jest jedynym negatywnym skutkiem, jaki może spotkać firmy, które nieodpowiednio zareagowały na incydent.

Osoby poszkodowane w wyniku wycieku mogą skierować powództwo na drodze cywilnej przeciwko firmie, argumentując na przykład, że przedsiębiorca nie dołożył należytej staranności albo że nie dochował procedur – wskazał Brogowski.

Wśród negatywnych skutków ekspert wymienił też straty biznesowe, np. wyciek poufnych danych dot. technologii, patentów, strategii biznesowych, oferowanych cen, kooperacji, przejęć itp.

– Wyciek takich informacji może być groźny dla biznesu zwłaszcza w przypadku spółek giełdowych. Niebagatelną sprawą jest kwestia potencjalnej utraty czy osłabienia pozycji rynkowej firmy, prestiżu, zaufania, którym darzą firmę klienci, kooperanci, dostawcy itd. – zaznaczył Brogowski.

“Celem cyberataków jest sianie niepokoju”. Eksperci wyjaśniają zagrożenia, dowiedz się więcej.

Do czego służy analiza powłamaniowa?

Jak dodał, na koniec także warto przeprowadzić analizę powłamaniową (śledczą), która pozwoli ustalić dokładnie, jak przebiegał incydent.

– Najlepiej zatrudnić do tego wyspecjalizowaną firmę; robią tak nawet duże korporacje, które posiadają własne działy cyberbezpieczeństwa – wskazał ekspert.

Dodał, że taki dokument powinien posłużyć przedsiębiorstwu do budowy procedur, które zapobiegną podobnym incydentom w przyszłości.

Jak podkreślił Betka, unijne rozporządzenia dotyczące ochrony danych i cyberbezpieczeństwa, takie jak RODO, NIS 2 i DORA, opierają się na analizie ryzyka, którą firmy powinny tworzyć i regularnie aktualizować na wypadek wystąpienia incydentu.

– Firma powinna przeanalizować, jakie konkretnie ryzyka wiążą się z przetwarzanym danych i jak można na te ryzyka zareagować, jeśli wystąpią – mówił ekspert.

Dodał, że posiadanie takiej analizy, dostosowanej do specyfiki danego przedsiębiorstwa, jest pomocne w podczas postępowań toczących się przed Prezesem UODO po incydencie.

Cyberbezpieczeństwo piętą Achillesową Polaków? Dużo jeszcze do nauki, dowiedz się więcej.

Plan ciągłości działania jest niezbędny?

Betka wskazał, że warto też posiadać plan ciągłości działania firmy w przypadku incydentu cyberbezpieczeństwa.

– Znam przypadek hotelu, gdzie cyberprzestępcy zaszyfrowali system do zarządzania tym hotelem, razem z kopią zapasową danych, która niestety znajdowała się na tym samym serwerze, co główny system – mówił.

“Hotel nie mógł rozliczyć aktualnych klientów, wystawiać faktur gościom, przyjąć rezerwacji, które zostały wcześniej złożone – dodał ekspert.

Jak podkreślił, odpowiednio przygotowany i przetestowany plan ciągłości działania może zapobiec sytuacji, w której firma jest sparaliżowana po wystąpieniu incydentu, bądź ograniczyć czas tego paraliżu.

MŚP zagrożone cyberatakami? Straty nawet w milionach zł, dowiedz się więcej.

– Ważne jest ustalenie, ile czasu zajmie przywrócenie systemu do działania na podstawie kopii zapasowej; czy będą to np. trzy godziny, czy trzy dni. To pozwoli ograniczyć ewentualne straty finansowe – podkreślił Betka.

Jak zauważył Brogowski, wyciek danych może przydarzyć się organizacjom rządowym i dużym korporacjom, ale również firmom średnim, małym i mikro.

– Często się mówi, że naruszenie cyberbezpieczeństwa to nie kwestia “czy”, tylko “kiedy” zdarzy się to w danej firmie, dlatego warto zawczasu się przygotować do incydentu – podsumował.