4 minut na přečtení

Jak předejít ztrátě citlivých informací? Chraňte svá data

trneny-martin-contact
Martin TrněnýCloud Security Consultant, SoftwareOne Czech Republic

Situace, se kterými se setkává téměř každý. Incidenty pramenící z neúmyslné chyby, i záměrného jednání. Rizika spojená s odcházejícími zaměstnanci. Chybovost při práci ve spěchu a její následky. Jak předejít těmto situacím a chránit tak své informace? Jaké máme právní možnosti v takových situacích?

1. Zaměstnanec neúmyslně nasdílel citlivé (neveřejné) informace

Práce ve spěchu, stres a zbrklost si často vyberou svou daň ve větší chybovosti a stane se, že nechtěně nasdílíme informace, které mají zůstat ve firmě. Může se tak stát například když:

  • Uživatel přidá nesprávnou přílohu do e-mailu
  • Uživatel přidá nesprávnou osobu do příjemců (záměna jmen, jmenovec z jiné firmy...)
  • Uživatel odpovídá/přeposílá e-mail s celým svým vláknem namísto jedné odpovědi (spolu s vláknem obsahující citlivé informace)

Co dělat pokud situace nastane?

Pokud se jedná o chybu/neúmyslné pochybení, můžeme zaměstnance poučit, udělit mu výtku, nařídit školení, případně je možné i požadovat náhradu škody ve výší až 4,5 násobek měsíčního platu.

Jak předejít takovým situacím?

  • Školení na používání různých pracovních nástrojů (pravidla pro sdílení dokumentů, e-mailové komunikace – například upozornění, že posíláme zprávu na externí adresu atd.)
  • Školení kyberbezpečnosti pro uživatele
  • Nasazení technických služeb, které mohou pomoci: Data Loss Prevention, Sensitivity Labels, Microsoft Defender for Cloud Apps či Intune

2. Zaměstnanec si záměrně zkopíroval a přenesl data společnosti

Zaměstnanec, který je například ve výpovědní lhůtě může mít pokušení ukrást firemní informace a vynést je do nového zaměstnání k získání výhody. Může se jednat o vaše ceníky, nabídky, seznamy klientů atd. Pokud se jedná o úmysl, jde o trestní čin a máte právně nárok na požadování výše náhrady škody (při prokázání úmyslu), která je nezastropovaná.

Pozor!

Při krádeži informací je nutné prokázat úmysl zaměstnanci. Pokud máte podezření, že by váš zaměstnanec mohl vynášet firemní data, je vhodné případ předat policii. Důležité také je, aby se váš administrátor nepokoušel přihlásit za dotčeného zaměstnance, tyto akce musíte přenechat na policii. Je totiž nutné, aby veškeré informace, které předáváme, zůstaly netknuté. Přihlášení administrátora (jeho login) by zpochybnil celý případ. Protistrana by totiž mohla v takovém případě argumentovat, že za krádež dat může právě admin a veškeré důkazy by tímto krokem byly zničeny.

Jak předejít takové situaci?

  • Mít smluvně ošetřenou mlčenlivost, NDA, dobře napsanou smlouvu = potřeba dokumenty revidovat, upravovat
  • Srozumitelně poučit zaměstnance o následcích v případě porušení
  • Hlídat stahování dokumentů u zaměstnanců = jaké dokumenty a v jaké míře zaměstnanec stahuje
  • Nastavení procesů, jak rychle ukončit zaměstnanci veškeré přístupy k informacím (jak stopneme účet, v jaké době to zvládneme)
  • Řízení přístupů a klasifikace informací nebo šifrování

3. Zaměstnanec při svém odchodu nevrátil firemní hardware, na kterém má firemní data

Zaměstnanec by při svém odchodu měl vrátit veškerý zapůjčený majetek firmy. Pokud se tak ale nestane, například v případě nevrácení pracovního notebooku, hrozí krádež dat uložených na takovémto hardwaru. V takovém případě často neřešíme samotnou cenu notebooku (majetku) jako takového, ale cenu, kterou mu přidávávají právě informace v něm uložené.

Prevence:

  • Mít firemní hardware pod centrální správou = vzdálená kontrola zařízení, možnost vzdáleného smazání informací
  • Nastavení procesů, jak rychle ukončit zaměstnanci veškeré přístupy k informacím (jak stopneme účet, v jaké době to zvládneme)

Slovníček pojmů:

Data leak = neúmyslně dovolíme přístup k neveřejným informacím

Data Breach = zneužití informací

Další informace o zabezpečení vašich dat získáte také ze záznamu našeho Security dopoledne:

Screenshot_2

Neváhejte se na nás obrátit, rádi s vámi projdeme vaše dotazy.

Author

trneny-martin-contact

Martin Trněný
Cloud Security Consultant, SoftwareOne Czech Republic