Polskie firmy pozwalają się okradać … swoim pracownikom

przez | 07/12/2012

Dane zapisane na dyskach służbowych komputerów to jedne z najcenniejszych firmowych aktywów. Jak wynika z ostatnich badań utrata tego typu danych może oznaczać dla polskiego przedsiębiorstwa nawet konieczność zawieszenia lub zamknięcia działalności. Mimo świadomości istnienia takiego niebezpieczeństwa aż 41% polskich firm naraża się na skutki lekceważenia ochrony danych, m.in. pozwalając swoim pracownikom kopiować z firmowych komputerów dowolne pliki!

Specjalizująca się w bezpieczeństwie IT firma DAGMA z Katowic, przy współpracy z TÜV Rheinland Polska oraz PKPP Lewiatan, przeprowadziła badanie mające na celu zdiagnozowanie poziomu bezpieczeństwa danych w polskich przedsiębiorstwach. Partnerem merytorycznym projektu był instytut Millward Brown SMG/KRC. Wyniki pozwalają stwierdzić, że rodzime przedsiębiorstwa poważnie podchodzą do kwestii ochrony swoich komputerów przed wirusami – prawie wszyscy ankietowani zadeklarowali, że w ich firmach zainstalowano oprogramowanie antywirusowe (98%). I jak się wydaje jest to działanie słuszne – 36% ankietowanych przyznało, że przedsiębiorstwa, którymi zarządzają lub w których pracują, odnotowały w ostatnich 12 miesiącach incydenty związane z bezpieczeństwem IT. Najczęściej wiązały się one właśnie z infekcją wirusa. Niestety wizerunek odpowiedzialnych i poważnie podchodzących do bezpieczeństwa informatycznego przedsiębiorstw psuje fakt, iż polskie firmy zapominają o konieczności zabezpieczania jednych z najcenniejszych swoich aktywów – danych zapisanych na dyskach twardych komputerów. Taka sytuacja jest bardzo często równoznaczna z łamaniem przez rodzime przedsiębiorstwa przepisów polskiego prawa.

79% ankietowanych przyznało, że przechowuje na dyskach firmowych laptopów dane osobowe, jednak tylko 22% pytanych wiedziało o ustawowym obowiązku szyfrowania takich komputerów, jeśli są one wynoszone poza siedzibę przedsiębiorstwa. Aż 46% ankietowanych zadeklarowało, że w Polsce nie ma obowiązku stosowania rozwiązania kryptograficznego. Tymczasem obowiązująca regulacja stanowi jednoznacznie, że „Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania (…) stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.” [rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r.].

Nieznajomość prawa nie oznacza jednak, że polskie firmy nie zauważają niebezpieczeństw, na jakie może narazić je lekceważące podejście do ochrony danych. Większość ankietowanych przyznała (88%), że utrata danych wpłynęłaby negatywnie na ich działalność, powodując konsekwencje finansowe, prawne lub utratę zlecenia, a nawet klienta. Wśród negatywnych konsekwencji utraty danych ankietowani wskazali również na niebezpieczeństwo zaistnienia konieczności zawieszenia lub zamknięcia działalności gospodarczej!

– W świecie globalizacji, nowych technologii, wszechobecnego Internetu troska przedsiębiorstw o bezpieczeństwo danych w służbowych komputerach ma ogromne znaczenie. Utrata niektórych informacji może sparaliżować funkcjonowanie firmy, a na pewno utrudnić prowadzenie działalności gospodarczej – komentuje wyniki badań Henryka Bochniarz, prezydent PKPP Lewiatan.

Sytuację pogarsza fakt, że ewentualne sytuacje kryzysowe firmy prowokują samodzielnie – 41% ankietowanych przyznało, iż w ich przedsiębiorstwach pracownicy mogą kopiować na nośniki zewnętrzne dowolne dane! Oznacza to, że w firmach tych realny jest scenariusz, kiedy to szeregowy pracownik kopiuje na swój pendrive firmową bazę klientów lub projekt, nad którym przedsiębiorstwo pracuje od wielu miesięcy. Zdobyte w ten sposób pliki mogą być później sprzedane konkurencji lub posłużyć do szantażu. Takie przypadki kradzieży danych naprawdę się zdarzają – potwierdzili to sami ankietowani.

– Informatycy rozumieją konsekwencje utraty czy ujawnienia danych i znają konkretne przypadki nadużyć w tym zakresie. Wyzwaniem dla tych samych informatyków jest jednak tłumaczenie trudnego świata IT ludziom biznesu, czyli zarządom i prezesom przedsiębiorstw. Te dwa światy nie potrafią się ze sobą skutecznie porozumieć, przez co w rodzimych firmach brakuje zasobów na odpowiednią ochronę danych i brak jest konsekwentnych polityk bezpieczeństwa – mówi Paweł Jurek, wicedyrektor ds. rozwoju katowickiej firmy DAGMA, specjalizującej się w bezpieczeństwie informatycznym.

Polskie firmy wydają się dostrzegać problem zapewnienia sobie należytego bezpieczeństwa IT i jak twierdzi ponad połowa badanych (56%) ich przedsiębiorstwa szkolą swoich pracowników z zakresu reguł bezpieczeństwa informatycznego obowiązujących w pracy. Podczas tego typu szkoleń pracownicy dowiadują się, m.in. których stron nie powinni odwiedzać w godzinach pracy, czy też dlaczego nie powinno się podawać haseł, zabezpieczających dostęp do firmowego komputera osobom trzecim itd. Niestety 36% rodzimych przedsiębiorstw tego typu szkoleń nie organizuje w ogóle, wymawiając się najczęściej brakiem środków finansowych lub brakiem czasu. Tymczasem prawidłowa edukacja pracowników, połączona z wprowadzeniem spójnej polityki bezpieczeństwa, mogłaby zlikwidować ryzyko kosztownych i często kłopotliwych konsekwencji, związanych z utratą firmowych danych.

Badanie zostało przeprowadzone na grupie 112 przedstawicieli polskich przedsiębiorstw za pomocą ankiety elektronicznej, udostępnionej na platformie ebad.