Firma RSM opracowała swój raport w oparciu o liczbę incydentów zgłaszanych przez brytyjskie instytucje finansowe organowi nadzorczemu, jakim jest Urząd ds. Postępowania Finansowego (ang. Financial Conduct Authority, FCA). Obraz wyłaniający się z opublikowanych danych jest niepokojący. Sugeruje blisko 10-procentowy wzrost liczby zdarzeń, w których doszło do naruszenia bezpieczeństwa danych. Problem dotyczy przede wszystkim podmiotów zajmujących się bankowością detaliczną, które zgłosiły niecałe 60% spośród wszystkich incydentów.
Jako najczęstszą przyczynę naruszeń danych, odpowiedzialną za 21% zdarzeń, wskazano „błąd podmiotu zewnętrznego”. Na dalszych miejscach znalazły się problemy po stronie sprzętu i oprogramowania oraz błędy w zarządzaniu zmianami. Dużym zagrożeniem pozostają także cyberataki, w szczególności te z wykorzystaniem phishingu i ransomware, które są źródłem co dziesiątego zgłoszenia ujętego w raporcie.
Rosnącą liczbę incydentów bezpieczeństwa warto rozpatrywać przez pryzmat wprowadzonego przed rokiem Ogólnego Rozporządzenia o Ochronie Danych (RODO). Przewiduje ono bardzo wysokie kary dla firm, które nie zadbały o bezpieczeństwo danych. Przykłady kar wymierzonych za naruszenie bezpieczeństwa danych mozna znaleźć także na polskim podwórku. Przykładowo, Dolnośląski Związek Piłki Nożnej musi zapłacić ponad 55 tys. zł grzywny za ujawnienie w sieci danych osobowych 585 osób, którym przyznano licencje sędziowskie. Co w takim razie powinny zrobić firmy, żeby uniknąć podobnych konsekwencji?
- Nie ma na to pytanie jednej odpowiedzi, gdyż wszystko zależy od specyfiki danej organizacji, rodzaju przetwarzanych danych oraz potencjalnego ryzyka. Wszystkie działania warto w związku z tym poprzedzić szczegółowym audytem bezpieczeństwa, który wykaże potencjalne zagrożenia zarówno po stronie infrastruktury technicznej, jak i organizacji pracy w danej firmie. Dopiero mając takie informacje można podjąć skuteczne kroki zmierzające do eliminacji słabych punktów – radzi Jarosław Mackiewicz z firmy DAGMA.