Wycieki danych dotykają zarówno niewielkie przedsiębiorstwa, jak i międzynarodowe korporacje, w tym również spółki technologiczne. W przypadku tych drugich zwykle odbijają się szerokim echem w mediach i zostawiają trwały ślad w świadomości klientów. Takim przykładem może być wyciek danych ponad 533 mln użytkowników Facebooka (Meta) z 2021 roku lub wyciek danych użytkowników Dropbox Sign z 2024 roku. Niezależnie od źródła problemu upublicznienie informacji może oznaczać poważne kłopoty – zarówno dla klientów, jak i dla firmy. Przykłady tego typu omawialiśmy już w artykule o największych wyciekach danych 2023 roku.

 

Do naruszeń danych może dochodzić na wiele różnych sposobów. Najczęstszą przyczyną upublicznienia chronionych informacji są przypadkowe wycieki wynikające z awarii lub niedopilnowania procedur firmowych, a także ataki hakerskie. Wśród jednych z najpopularniejszych zagrożeń od lat pojawiają się phishing oraz różne rodzaje ataków socjotechnicznych. Niebezpieczne jest również złośliwe oprogramowanie szpiegujące firmowe urządzenia i systemy, które może miesiącami wykradać zbiory danych z firmowej sieci. Nierzadko źródłem problemu są dostawcy technologii lub podwykonawcy współpracujący z firmą, którzy pomimo korzystania z krytycznych zasobów (np. za pośrednictwem VPN) nie posiadają odpowiednio bezpiecznej infrastruktury ICT.

 

Trudnym do wykrycia okazują się być także zagrożenia pochodzące z wnętrza organizacji (tzw. insider threat). Mowa o pracownikach, zleceniobiorcach, wykonawcach czy partnerach biznesowych, którzy posiadają dostęp do danych wrażliwych (w celu wykonywania swoich zadań). Insiderem może zostać zarówno pracownik szpiegujący na rzecz konkurencji i świadomie wykradający dane, jak i osoba nieświadoma zagrożenia, która udostępnia wrażliwe informacje przez przypadek – na przykład wysyłając e-mail z poufnym załącznikiem do niezweryfikowanego odbiorcy.

   

Obieg wrażliwych informacji w sieci firmowej powinien podlegać ciągłej kontroli. Szyfrowana baza danych czy maskowanie informacji nie wystarczą. Oprócz zabezpieczenia dostępu firma powinna mieć stały wgląd w to, w jaki sposób, przez kogo i kiedy przetwarzane są dane osobowe klientów. Zastosowanie systemów monitorowania zachowań użytkowników, takich jak (UBA/UEBA), pozwala w porę dowiedzieć się m.in. o kopiowaniu dużych zbiorów danych, próbach uzyskania dostępu do sieci czy nietypowym ruchu na kontach pracowników. Przy użyciu zautomatyzowanych platform SIEM możliwe jest ponadto monitorowanie logów sieciowych w czasie rzeczywistym i otrzymywanie alertów bezpieczeństwa.

 

Warto uzupełnić system ochrony o rozwiązania Privileged Access Management (PAM), które umożliwiają zarządzanie dostępami uprzywilejowanymi. Pozwala to minimalizować ryzyko nadużyć w przypadku kont z wyższymi uprawnieniami (np. administratorów, programistów).

 

Zastosowanie rozwiązań Database Activity Monitoring (DAM) pozwoli ponadto sprawować szczegółową kontrolę nad aktywnością w bazach danych, identyfikując podejrzane działania, takie jak masowe odczyty danych czy nietypowe zapytania.

 

Zabezpieczając się przed wyciekami danych, warto również wdrożyć narzędzia DLP (Data Loss Prevention), które skutecznie zapobiegają przesyłaniu wrażliwych danych poza sieć organizacji.

 

W przypadku podejrzenia wycieku danych pomocne są także zewnętrzne źródła informacji. Na rynku dostępne są zaawansowane narzędzia monitorujące dane publikowane w sieci, a nawet w tzw. dark webie, gdzie informacje o bazach danych wystawionych na sprzedaż lub zwyczajnie upublicznionych pojawiają się najszybciej.

 

Nierzadko zdarza się, że firma nie ma pewności, czy faktycznie doszło do wycieku danych, ale mimo wszystko decyduje się podjąć potrzebne kroki zaradcze. Oszuści mogą bowiem zagrozić upublicznieniem danych bez faktycznego przeprowadzenia skutecznego ataku, a w przypadku podejrzenia wycieku organizacja zobowiązana jest do podjęcia konkretnych działań.

   

Wycieki danych mogą mieć różną skalę i nieść za sobą zróżnicowane zagrożenie. To właśnie ocena potencjalnego ryzyka z przyjęciem perspektywy osoby, której dane zostały upublicznione, powinna być pierwszym krokiem firmy w sytuacji kryzysowej.

 

Zgodnie z przepisami RODO, jeśli skala wycieku danych oraz charakter danych wskazują na duże ryzyko naruszenia praw lub wolności osób fizycznych, zachodzi konieczność poinformowania o tym fakcie samych poszkodowanych. Niestety brak jest jednoznacznych kryteriów, które należy wziąć pod uwagę przy ocenie ryzyka.

 

Kolejnym krokiem (jeśli ocena incydentu wskazuje na znaczne ryzyko ograniczenia praw lub wolności osób fizycznych) jest powiadomienie Urzędu Ochrony Danych Osobowych. Pełny raport dotyczący wycieku danych należy zgłosić prezesowi UODO w ciągu 72 godzin od chwili wystąpienia incydentu. W przypadku, jeśli organizacja zdecyduje się na niepowiadamianie użytkowników, to wciąż może zgłosić incydent do UODO, ale należy w takim przypadku uargumentować przed prezesem urzędu swoją decyzję niepowiadamiania użytkowników. Organ może ją podważyć i samodzielnie zbadać sytuację, wszczynając kontrolę.

 

Nie można przy tym wszystkim zapominać o innych aktach prawnych, jak na przykład dyrektywa NIS/NIS2. Podmioty objęte tą regulacją są zobowiązane do zgłaszania incydentów odpowiedniemu organowi nadzorczemu (np. odpowiedniemu CSIRT).

 

Ważne jest także zbadanie zdarzenia i odnalezienie przyczyny wycieku danych w ramach analizy powłamaniowej, co nierzadko oznacza drobiazgową, ręczną kontrolę i poszukiwanie przyczyn w ogromnym zbiorze logów sieciowych Więcej na ten temat pisaliśmy w artykule dotyczącym postępowania po incydentach cyberbezpieczeństwa.

   

Firma może nie powiadamiać ani użytkowników, ani UODO o ile organizacja uzna, że incydent nie był na tyle groźny. Taki krok jest dopuszczony przepisami. Zgodnie z raportem Związku Firm Ochrony Danych Osobowych za rok 2022, aż 76,86% incydentów związanych z upublicznieniem danych nie zostało zgłoszonych do odpowiednich organów. Można więc wnioskować, że zdecydowana większość incydentów nie była na tyle poważna.

 

Warto jednak mieć na uwadze, że kary za złamanie przepisów RODO to nawet 20 milionów euro lub 4% rocznego obrotu przedsiębiorstwa. Prawa dotyczącego przetwarzania danych osobowych nie warto zatem lekceważyć.

   

Skuteczne unikanie zagrożeń cybernetycznych, w tym wycieków danych, jest efektem stosowania najlepszych praktyk z dziedziny cyberbezpieczeństwa, egzekwowania procedur i wykorzystywania rozwiązań technicznych od sprawdzonych dostawców. To właśnie konsekwencja i odpowiedzialność przynoszą sukces w tym obszarze, świadcząc jednocześnie o dojrzałości organizacji.

 

Dlatego tak ważne jest, by stosować zarówno ogólne środki ochrony uważane za podstawowe, jak i dedykowane rozwiązania nastawione na konkretne zagrożenia. W ofercie Netii, jednego z liderów rynku usług cyberbezpieczeństwa w Polsce, znajduje się wiele gotowych narzędzi mogących znacznie poprawić odporność organizacji na ataki i naruszenia. Wśród nich znajdują się m.in.:

 

• Rozwiązania Cloud Firewall, Managed Unified Threat Management oraz Managed Next-Generation Firewall pozwalające zabezpieczyć organizację przed wieloma typami ataków oraz ograniczają ryzyko wycieku danych. Ich zaawansowane funkcje, jak inspekcja ruchu, kontrola aplikacji i analiza zachowań, pozwalają skutecznie identyfikować oraz neutralizować zagrożenia zanim dojdzie do kradzieży informacji.


• Netia Ochrona Poczty Elektronicznej – usługa zapewniająca ochronę przed powszechnymi zagrożeniami przenoszonymi przez e-mail: phishingiem, malware, spoofingiem, zainfekowanymi załącznikami czy wyciekiem danych. Szacuje się, że około 90% wszystkich ataków jest realizowanych z udziałem poczty elektronicznej. Firmowa skrzynka jest więc elementem sieci wymagającym szczególnej, dedykowanej ochrony.


• Testy podatności oraz testy penetracyjne aplikacji i infrastuktury służącej do przetwarzania i magazynowania wrażliwych danych – to doskonałe działania prewencyjne. Ich regularne stosowanie pozwala poznać występujące podatności i sprawdzić do czego może prowadzić ich wykorzystanie. W celu oceny reakcji pracowników na wiadomości phishingowe warto rozważyć przeprowadzenie kontrolowanych ataków przygotowanych przez specjalistów z Netii.

 

W przypadku najbardziej wymagających organizacji polecamy zapoznanie się z usługą SOC, czyli Security Operations Center Netii. To zespół, który 24/7/365 monitoruje firmowe sieci naszych klientów i przy pomocy platform SIEM/SOAR oraz innych narzędzi interpretuje napływające sygnały i zagrożenia. Dzięki nim firma może odpowiednio przygotować zabezpieczenia baz danych, w porę dowiedzieć się o nadchodzącym ataku i szybko podjąć kroki zaradcze w celu minimalizacji strat.

 

Właściwie skonfigurowane reguły korelacyjne mogą wygenerować alarm platformy SIEM/SOAR, dotyczący podejrzanych aktywności w bazie danych, jak na przykład: duża liczba zapytań w krótkim czasie/nietypowe zapytania, kopiowanie danych na nośniki przenośne lub do popularnych chmur takich (np. Gmail czy Dropbox). Na życzenie klientów Netia dostarcza także zaawansowane narzędzia do ochrony przed wyciekami, takie jak Data Loss Prevention (DLP), Privileged Access Management (PAM) czy Database Activity Monitoring (DAM), w modelu integratorskim.

 

Firmy chcące skutecznie zapobiegać wszelkiego rodzaju incydentom cyberbezpieczeństwa i naruszeniom danych zapraszamy do kontaktu. Nasi specjaliście z chęcią przedyskutują możliwe rozwiązania.