Obecnie, przy stale rosnącej ilości informacji i niezwykle szybkim tempie ich przepływu, o wyciek danych jest łatwo jak nigdy dotąd. Dochodzi do tego właściwie wszędzie, niezależnie od branży i wielkości firmy czy instytucji. Co robić, gdy z naszej firmowej bazy wyciekną dane? Czy mamy opracowany awaryjny plan działania? Czy potrafimy rzetelnie informować o incydencie, jego skutkach i podejmowanych działaniach naprawczych? Jak wyjść z twarzą z tej trudnej sytuacji, jak odpowiednio nią zarządzać i jak ograniczyć jej negatywne skutki radzi Konrad Gałaj-Emiliańczyk z ODO 24.
Nadzór nad bezpieczeństwem
Po pierwsze, profilaktyka. Zadbajmy o to, by w naszych firmach, organizacjach, instytucjach pracowały osoby kompetentne i odpowiedzialne. W szczególności powinniśmy zwrócić uwagę na osoby bezpośrednio odpowiedzialne za ochronę przetwarzanych danych – administratorów bezpieczeństwa informacji (ABI), administratorów systemów informatycznych (ASI), pełnomocników ds. informacji niejawnych czy, w sektorze finansowym, compliance oficerów. Wszystkie te osoby mają za zadanie ograniczenie ryzyka wystąpienia incydentów, ale również, o czym często zapominamy, zarządzanie ryzykiem oraz samymi incydentami. Dobór niewłaściwych osób lub ograniczanie ich uprawnień w sytuacjach kryzysowych powoduje najczęściej ogromny chaos i straty wizerunkowe.
Procedury alarmowe
Po drugie, procedury. Często niedoceniane, lekceważone i nielubiane, ale jak się okazuje (najczęściej po fakcie!), bardzo przydatne. Procedury to nic innego jak wewnętrzne regulacje, opisujące sposób postępowania w poszczególnych sytuacjach. W naszym przypadku to opis postępowania z dokumentami, elektronicznymi nośnikami danych, dostępem do internetu czy poczty elektronicznej. Ich wdrożenie i przestrzeganie, znacznie ogranicza ryzyko wycieku danych. Właściwie skonstruowana procedura ochrony danych powinna zawierać również tzw. instrukcję alarmową, określającą zasady postępowania na wypadek zaistnienia incydentu. Dzięki takiej instrukcji unikamy zaskoczenia i organizacyjnego chaosu. Każda z osób zajmujących się przetwarzaniem danych doskonale wie, jak ma się w danej sytuacji zachować, do kogo zwrócić, komu i jakich informacji udzielić. Opracowując procedury pamiętajmy, aby były one możliwie najbardziej intuicyjne.
Sprawna komunikacja
Po trzecie, szybka i spójna komunikacja. Znacznie pomoże w tym wspomniana powyżej instrukcja alarmowa. Osoba, która dowiaduje się o wycieku danych lub jest jego sprawcą (nieumyślnym) powinna jak najszybciej powiadomić o incydencie administratora bezpieczeństwa informacji (ABI). Po otrzymaniu zgłoszenia ABI ma za zadanie jak najszybsze ograniczenie wycieku lub niedopuszczenie do jego eskalacji. Dopiero w dalszej kolejności przychodzi czas na ustalenie faktów – co i dlaczego się stało? kto zawinił? jak zapobiegać takim zdarzeniom w przyszłości? Na ich podstawie ABI opracowuje odpowiedni protokół ze zdarzenia i przekazuje go przełożonym. Ujawnienie informacji o incydencie współpracownikom czy, w szczególnych przypadkach, wydanie na ten temat publicznego oświadczenia, jest ostatnim z elementów działania kryzysowego. Wyjątkiem jest oczywiście sytuacja, gdy mamy do czynienia z dużym wyciekiem danych i media dowiedzą się o nim wcześniej (niestety, czasem nawet wcześniej niż przedstawiciele firmy). Warto wówczas po prostu poinformować media o tym, że pracujemy nad opanowaniem i wyjaśnieniem sytuacji. Zdecydowanie odradzamy uciekanie się do stwierdzeń typu „bez komentarza”! Po zbadaniu sytuacji można już wydać stosowne, szersze oświadczenie i odpowiedzieć na ewentualne pytania. Najczęściej takie oświadczenie wydaje rzecznik prasowy lub pełnomocnik zarządu. Bardzo ważne, by zostało oni wcześniej wewnętrznie uzgodnione z zarządem, administratorem bezpieczeństwa informacji, a także innymi osobami zaangażowanymi w sytuację.
Spójne oświadczenie
Po czwarte, właściwy sposób informowania o incydentach. Przede wszystkim pamiętajmy o tym, aby wyznaczyć jedną osobę odpowiedzialną za składanie oświadczeń w imieniu naszej organizacji. O tym, kto to będzie i jak wobec tego powinni się zachowywać pozostali pracownicy, warto wyraźnie poinformować w instrukcji alarmowej. Ważną rolę mogą tu również odegrać stosowne klauzule o poufności, podpisywane przez poszczególnych pracowników. Niestety, w praktyce często dochodzi do sytuacji gdy wydawanych jest kilka następujących po sobie oświadczeń, niekiedy nawet ze sobą sprzecznych. Co więcej, w komunikacji pojawiają się również informacje i komentarze bezrefleksyjnie zamieszczane przez poszczególnych pracowników na portalach społecznościowych. To najprostsza droga do informacyjnego chaosu i eskalacji sytuacji kryzysowej! Pamiętajmy, że właściwie skonstruowane oświadczenie i rzetelne informowanie o podejmowanych działaniach naprawczych, jest w stanie uratować dobre imię podmiotu nawet w naprawdę trudnych sytuacjach.
***
Niestety, nie ma dziś fizycznej możliwości zagwarantowania stuprocentowego bezpieczeństwa przetwarzanym danym i informacjom. Można się jednak odpowiednio przygotować na wypadek wystąpienia różnego typu incydentów. Poza teorią, warto przy tym pomyśleć również o praktyce. Podobnie jak w przypadku testowych alarmów przeciwpożarowych, pracownicy mogą być poddawani testowym alarmom w zakresie bezpieczeństwa informacji. Sprawdzenie funkcjonowania instrukcji alarmowej w praktyce, pozwoli nam stwierdzić, czy instrukcja faktycznie działa, czy też może należy ją poprawić. Zdarza się, że takie testowe działania budzą pewne wątpliwości – odrywają pracowników od ich obowiązków, zajmują czas, itp. Niemniej, w trosce o wizerunek własnego przedsiębiorstwa i marki, warto poświęcić im nieco czasu. Pamiętajmy, że dobre imię i wiarygodność bardzo łatwo jest stracić. Dużo trudniej – odzyskać.
Konrad Gałaj-Emiliańczyk
Ekspert ds. danych osobowych
ODO 24
Wojciech Boczoń