Polskie firmy pozwalają się okradać … swoim pracownikom

Mimo świadomości istnienia takiego niebezpieczeństwa aż 41 proc. polskich firm naraża się na skutki lekceważenia ochrony danych, m.in. pozwalając swoim pracownikom kopiować z firmowych komputerów dowolne pliki! Specjalizująca się w bezpieczeństwie IT firma DAGMA z Katowic, przy współpracy z TÜV Rheinland Polska oraz PKPP Lewiatan, przeprowadziła badanie mające na celu zdiagnozowanie poziomu bezpieczeństwa danych w polskich przedsiębiorstwach. Partnerem merytorycznym projektu był instytut Millward Brown SMG/KRC. Wyniki pozwalają stwierdzić, że rodzime przedsiębiorstwa poważnie podchodzą do kwestii ochrony swoich komputerów przed wirusami - prawie wszyscy ankietowani zadeklarowali, że w ich firmach zainstalowano oprogramowanie antywirusowe (98%). I jak się wydaje jest to działanie słuszne - 36% ankietowanych przyznało, że przedsiębiorstwa, którymi zarządzają lub w których pracują, odnotowały w ostatnich 12 miesiącach incydenty związane z bezpieczeństwem IT. Najczęściej wiązały się one właśnie z infekcją wirusa. Niestety wizerunek odpowiedzialnych i poważnie podchodzących do bezpieczeństwa informatycznego przedsiębiorstw psuje fakt, iż polskie firmy zapominają o konieczności zabezpieczania jednych z najcenniejszych swoich aktywów - danych zapisanych na dyskach twardych komputerów. Taka sytuacja jest bardzo często równoznaczna z łamaniem przez rodzime przedsiębiorstwa przepisów polskiego prawa. 

79% ankietowanych przyznało, że przechowuje na dyskach firmowych laptopów dane osobowe, jednak tylko 22% pytanych wiedziało o ustawowym obowiązku szyfrowania takich komputerów, jeśli są one wynoszone poza siedzibę przedsiębiorstwa. Aż 46% ankietowanych zadeklarowało, że w Polsce nie ma obowiązku stosowania rozwiązania kryptograficznego. Tymczasem obowiązująca regulacja stanowi jednoznacznie, że "Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania (...) stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych." [rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r.].

Nieznajomość prawa nie oznacza jednak, że polskie firmy nie zauważają niebezpieczeństw, na jakie może narazić je lekceważące podejście do ochrony danych. Większość ankietowanych przyznała (88%), że utrata danych wpłynęłaby negatywnie na ich działalność, powodując konsekwencje finansowe, prawne lub utratę zlecenia, a nawet klienta. Wśród negatywnych konsekwencji utraty danych ankietowani wskazali również na niebezpieczeństwo zaistnienia konieczności zawieszenia lub zamknięcia działalności gospodarczej! 

- W świecie globalizacji, nowych technologii, wszechobecnego internetu troska przedsiębiorstw o bezpieczeństwo danych w służbowych komputerach ma ogromne znaczenie. Utrata niektórych informacji może sparaliżować funkcjonowanie firmy, a na pewno utrudnić prowadzenie działalności gospodarczej - komentuje wyniki badań Henryka Bochniarz, prezydent PKPP Lewiatan.

Sytuację pogarsza fakt, że ewentualne sytuacje kryzysowe firmy prowokują samodzielnie - 41% ankietowanych przyznało, iż w ich przedsiębiorstwach pracownicy mogą kopiować na nośniki zewnętrzne dowolne dane! Oznacza to, że w firmach tych realny jest scenariusz, kiedy to szeregowy pracownik kopiuje na swój pendrive firmową bazę klientów lub projekt, nad którym przedsiębiorstwo pracuje od wielu miesięcy. Zdobyte w ten sposób pliki mogą być później sprzedane konkurencji lub posłużyć do szantażu. Takie przypadki kradzieży danych naprawdę się zdarzają - potwierdzili to sami ankietowani.

- Informatycy rozumieją konsekwencje utraty czy ujawnienia danych i znają konkretne przypadki nadużyć w tym zakresie. Wyzwaniem dla tych samych informatyków jest jednak tłumaczenie trudnego świata IT ludziom biznesu, czyli zarządom i prezesom przedsiębiorstw. Te dwa światy nie potrafią się ze sobą skutecznie porozumieć, przez co w rodzimych firmach brakuje zasobów na odpowiednią ochronę danych i brak jest konsekwentnych polityk bezpieczeństwa - mówi Paweł Jurek, wicedyrektor ds. rozwoju katowickiej firmy DAGMA, specjalizującej się w bezpieczeństwie informatycznym.

Polskie firmy wydają się dostrzegać problem zapewnienia sobie należytego bezpieczeństwa IT i jak twierdzi ponad połowa badanych (56%) ich przedsiębiorstwa szkolą swoich pracowników z zakresu reguł bezpieczeństwa informatycznego obowiązujących w pracy. Podczas tego typu szkoleń pracownicy dowiadują się, m.in. których stron nie powinni odwiedzać w godzinach pracy, czy też dlaczego nie powinno się podawać haseł, zabezpieczających dostęp do firmowego komputera osobom trzecim itd. Niestety 36% rodzimych przedsiębiorstw tego typu szkoleń nie organizuje w ogóle, wymawiając się najczęściej brakiem środków finansowych lub brakiem czasu. Tymczasem prawidłowa edukacja pracowników, połączona z wprowadzeniem spójnej polityki bezpieczeństwa, mogłaby zlikwidować ryzyko kosztownych i często kłopotliwych konsekwencji, związanych z utratą firmowych danych.

Badanie zostało przeprowadzone na grupie 112 przedstawicieli polskich przedsiębiorstw za pomocą ankiety elektronicznej, udostępnionej na platformie ebadania.pl.