photo
23.08.2024

Co ósma firma MŚP podaje hakerom dane pracowników na tacy

Połowa firm z sektora MŚP przekazuje dane osobowe swoich pracowników współpracującym z nimi biurom księgowo-rachunkowym. I choć zdecydowana większość przedsiębiorców uważa, że są one przez zewnętrzne firmy prawidłowo chronione, to jednocześnie sama ułatwia pracę hakerom. Aż 23 proc. ankietowanych przedsiębiorstw z tej grupy przyznaje, że przekazuje wrażliwe dane zatrudnionych osób w sposób zupełnie niezabezpieczony – wynika z badania przeprowadzonego na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych. 

95 proc. mikro, małych i średnich przedsiębiorców przetwarza dane osobowe pracowników, z czego 49 proc. przekazuje je do biur księgowo-rachunkowych. Przytłaczająca większość z tej grupy (88 proc.) uważa, że są one przez podwykonawców prawidłowo zabezpieczone przed dostępem niepowołanych osób. Z drugiej jednak strony aż 45 proc. respondentów boi się, że mogą one zostać skradzione. 

Ignorowanie podstawowych zasad cyberbezpieczeństwa

Chociaż papierowa dokumentacja przechodzi do lamusa, to w tej formie biurom rachunkowo-księgowym czy agencjom HR nadal dokumenty dostarcza aż 38 proc. ankietowanych. Znacznie częściej przedsiębiorstwa z sektora MŚP przekazują dane osobowe pracowników w formie elektronicznej. Niestety przez lekceważenie zasad cyberbezpieczeństwa ta wygodna forma komunikacji z zewnętrznymi kadrami naraża na niebezpieczeństwo część pracowników.

Zaledwie 31 proc. respondentów wysyła szyfrowane e-maile z załącznikiem chronionym hasłem dostępu do pliku. Najczęściej tego typu zabezpieczenie stosują średnie firmy (38 proc.), a rzadziej małe i mikro (po 31 proc.). Z kolei 22 proc. przedsiębiorców przesyła szyfrowane e-maile z załącznikiem, choć nie są one zabezpieczone hasłem. Natomiast 16 proc. ankietowanych przechowuje szyfrowane dokumenty w chmurze, które następnie udostępnia zewnętrznym partnerom.

Szyfrowana komunikacja e-mailowa na nic się zda, jeżeli załączane do niej pliki z danymi osobowymi pracowników nie będą dodatkowo chronione hasłem. Wystarczy, że nadawca pomyli adres odbiorcy, by takie dane trafiły do niewłaściwej osoby i doszło do naruszenia ochrony danych.

Niestety wśród firm z sektora MŚP zdarzają się również przedsiębiorstwa, które całkowicie nieodpowiedzialnie podchodzą do ochrony danych osobowych pracowników. Aż 14 proc. respondentów wysyła podwykonawcom nieszyfrowane e-maile z załącznikiem bez wymaganego hasła dostępu do pliku.

– To największa bolączka małych firm (23 proc.) z branży handlowej (25 proc.) i transportowej (21 proc.), które są obecne na rynku powyżej 10 lat (32 proc.). Zdecydowanie częściej funkcjonują w formie spółek (19 proc.) niż jednoosobowych działalności gospodarczych (5 proc.). Niestety pomimo dużego biznesowego doświadczenia, bardzo lekceważąco podchodzą do ochrony danych osobowych pracowników i klientów, które w efekcie są wyjątkowo łatwym celem dla hakerów – ostrzega Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.

Równie lekkomyślne postępuje 9 proc. ankietowanych, którzy przechowują nieszyfrowane dokumenty w chmurze, a następnie udzielają do niej dostępu firmom zewnętrznym.

– To domena średnich firm (19 proc.) z branży produkcyjnej (81 proc.) i budowlanej (22 proc.), które są obecne na rynku od 5 do 10 lat. To bardzo niepokojące, ponieważ te przedsiębiorstwa zatrudniają od 50 do 250 osób. Pomimo stosunkowo dużej skali działalności, a więc atrakcyjności dla cyberprzestępców, wyjątkowo lekceważą zagrożenie ze strony hakerów. Jedną z przyczyn może być błędne myślenie, że przekazanie danych pracowników zewnętrznemu biuru rachunkowo-księgowemu lub agencji HR zwalnia ich z odpowiedzialności w razie wycieku czy kradzieży dokonanej przez cyberprzestępców. Tak nie jest – dodaje Bartłomiej Drozd.

To nie zamyka listy grzechów MŚP. 5 proc. z nich co prawda już nie wozi do biura rachunkowo-księgowego papierowych dokumentów pracowników, ale przekazuje je na pendrive lub zewnętrznym dysku. Jeśli ten zginie lub zostanie skradziony, dane pracowników stają się dostępne dla postronnych osób.

Administratorzy danych, czyli pracodawcy, powinni przeprowadzić analizę ryzyka i zidentyfikować zagrożenia, jeżeli przekazują dane na nośnikach typu pendrive. Analiza powinna wykazać konieczność odpowiedniego zabezpieczenia takich urządzeń. Istnieją na rynku szyfrowane nośniki tego typu. Pliki można także zaszyfrować, co w przypadku zgubienia takiej przenośnej pamięci czy jej kradzieży uniemożliwi albo przynajmniej utrudni zapoznanie się z danymi bez znajomości hasła mówi Mirosław Wróblewski, prezes UODO.

Warto wiedzieć, że UODO nakładało już kary na administratorów, u których doszło do naruszenia ochrony danych z powodu utraty perndrive’a, na którym dane nie były w żaden sposób zabezpieczone.

Postępowania UODO najczęściej wykazywały brak odpowiedniej analizy ryzyka, która pomogłaby uzmysłowić sobie konieczność odpowiedniego zabezpieczenia takich nośników. Niekiedy analiza była pobieżna, co zaowocowało np. wdrożeniem niewystarczających procedur związanych z zabezpieczeniem danych na zewnętrznych nośnikach, czy brakiem nadzoru nad przestrzeganiem opracowanych reguł – dodaje Mirosław Wróblewski. 

Hakerzy zacierają ręce

Nic dziwnego, ponieważ zgodnie z danymi Głównego Urzędu Statystycznego firmy z sektora MŚP zatrudniają 7,3 mln pracowników. Dla cyberprzestępców oznacza to 7,3 mln potencjalnych ofiar ataków. A wykradziony łup może być bezcenny.

Mikro, małe i średnie firmy najczęściej przetwarzają imię i nazwisko zatrudnianych pracowników (86 proc.), a także numer telefonu (80 proc.). Nieco rzadziej adres zamieszkania i numer PESEL (po 75 proc.). W dalszej kolejności adres e-mail (70 proc.), numer rachunku bankowego (68 proc.) i dowodu osobistego (62 proc.), oraz dane zdrowotne o absencjach czy przebytych chorobach (43 proc.). W rezultacie z powodu słabego poziomu zabezpieczeń w wielu MŚP, hakerzy w bardzo prosty sposób mogą wykraść komplet danych osobowych potrzebnych do popełnienia przestępstwa.

Badanie zostało przeprowadzone przez TGM Research na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych (UODO) w maju 2024 r. techniką wywiadów internetowych (CAWI) na próbie 400 przedstawicieli firm MMŚP spełniających kryterium decyzyjności oraz przetwarzających dane osobowe.

 

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Karol Witowski
date 2024-08-23
Wprowadził informację:
user Agnieszka Kaczor
date 2024-08-22 15:08:11
Ostatnio modyfikował:
user Agnieszka Kaczor
date 2024-08-23 07:52:40