Jak reagować na wyciek danych z firmy?

Średnio kilka razy w roku media nagłaśniają różnego rodzaju wycieki danych. Przykładów jest wiele – dokumenty znajdowane w altankach śmietnikowych, bazy klientów wykradane przez odchodzących pracowników,  lub udostępnienie niewłaściwego pliku na stronie internetowej. Okazuje się jednak, że wycieki danych, w różnej skali, zdarzają się w firmach niemal każdego dnia! Co wtedy robić? Przede wszystkim zachować spokój!

Bywa, że mniejsze incydenty są często po prostu niezauważane. Źle zaadresowany mail, niezastosowanie kopii ukrytej w korespondencji grupowej, czy pozostawione w sali konferencyjnej CV kandydatów do pracy to przypadki, które zdarzają się dość często. Zazwyczaj nie są one nigdzie zgłaszane i nie wiążą się z żadnymi konsekwencjami ani ze strony przełożonych, ani osób, których dane zostały bezprawnie udostępnione. Niezależnie jednak od skali przewinienia może się zdarzyć, że osoby, których dane zostały bezprawnie udostępnione lub przetwarzane zechcą zgłosić skargę, a nawet zawiadomić o zdarzeniu media. Wówczas z pozoru niewielkie zdarzenie może urosnąć do niewiarygodnych rozmiarów i bardzo negatywnie odbić się na wizerunku danej firmy czy instytucji.

Maciej Kaczmarski, prezes zarządu ODO 24 jest zdania, że incydentów związanych z ochroną danych osobowych nie da się całkowicie wyeliminować. Mamy tu do czynienia z czynnikiem ludzkim, a ludzką rzeczą jest się mylić. Aby jednak te pomyłki były jak najmniej brzemienne w skutki, warto się po prostu na nie przygotować. Najprostszym rozwiązaniem jest stworzenie jasnej instrukcji alarmowej, dzięki której każdy z pracowników będzie wiedział, co ma robić, gdy zaobserwuje lub zostanie poinformowany o wycieku danych z firmy – radzi.

Informacja i spokój

Gdy mamy podejrzenie, że możemy mieć do czynienia z wyciekiem danych, należy przede wszystkim zachować spokój i jak najszybciej poinformować o zdarzeniu naszego administratora bezpieczeństwa informacji (ABI). Od tego momentu to on jest osobą odpowiedzialną za dalsze działania. Jego zadaniem jest szczegółowe ustalenie, co się stało oraz, jeśli to możliwe, zabezpieczenie wyciekłych już danych (np. zebranie firmowych dokumentów znalezionych na śmietniku) lub uniemożliwienie ich dalszego udostępniania (np. zablokowanie udostępnionego pliku z danymi). Po opanowaniu sytuacji ABI sporządza protokół ze zdarzenia i wdraża niezbędne ulepszenia w systemie ochrony danych.

Gdy mamy do czynienia z nieodwracalnymi skutkami incydentu, np. gdy przypadkowo udostępniony plik został już wielokrotnie pobrany, pozostaje już tylko przeprosić osoby poszkodowane, być może zadbać o odpowiednią rekompensatę i oczywiście zrobić wszystko, aby takie zdarzenie nie miało miejsca w przyszłości.

Ścisła współpraca z zarządem i spójna komunikacja

Dobrze by ABI, szczególnie w przypadku incydentów na większą skalę i o nieodwracalnych skutkach, ściśle współpracował z zarządem firmy i, jeśli taka funkcja w firmie istnieje, z rzecznikiem prasowym lub ekspertem ds. PR. Może się zdarzyć, że o wycieku danych dowiedzą się dziennikarze, być może nawet dowiedzą przed nami. Dobrze wówczas prowadzić z nimi spójną i przemyślaną komunikację i zdecydowanie nie uciekać od odpowiedzialności, jeśli faktycznie okaże się, że ktoś w naszej firmie popełnił błąd.

Dostęp do informacji jest współcześnie niezwykle szeroki więc każda, czasem nawet najmniejsza wzmianka na portalu społecznościowym czy na forum dyskusyjnym może stać się początkiem poważnej sytuacji kryzysowej. Warto więc rzetelnie poinformować zainteresowane strony – klientów, współpracowników, dziennikarzy – o zaistniałym incydencie, działaniach, jakie zostały poczynione w celu zminimalizowania jego skutków oraz działaniach, jakie mają zapobiec tego typu zdarzeniom w przyszłości. Właściwa reakcja na sytuację kryzysową związaną z wyciekiem danych świadczy o profesjonalizmie organizacji i poważnym podejściu do najważniejszych firmowych zasobów, jakimi są informacje – podkreśla prezes ODO 24. Kryzys nie jest momentem na przerzucanie się odpowiedzialnością czy publiczne poszukiwanie i karanie winnych. W jego obliczu firma powinna grać do jednej bramki. Na wewnętrzne rozliczenia i analizy przyjdzie jeszcze czas – dodaje Maciej Kaczmarski.

Źródło: ODO24