Od ponad dwóch lat, a w szczególności od początku tego roku kalendarzowego, bombardowani byliśmy informacjami o RODO, straszeni niebotycznymi sankcjami, zasypywani najróżniejszymi ofertami dotyczącymi audytów i wdrożenia RODO. Niektórzy z przedsiębiorców padali, zwłaszcza po dacie 25. maja, ofiarami szantaży ze strony nieuczciwych osób, które deklarowały niezgłaszanie incydentów, czy nieprzestrzeganie regulacji RODO w zamian za audyt czy też zawarcie ugody. Po wybiciu jedynie słusznej daty w mediach pojawiły się informacje o błędnych interpretacjach, przekłamaniach i kuriozach związanych z Rozporządzeniem – począwszy od sprawdzania obecności w szkole poprzez wywoływanie numerów bez nazwisk, skończywszy na niepodawaniu informacji o fakcie pobytu w szpitalu dziecka.
W ramach projektu RODOgotowi (www.rodogotowi.pl) zdecydowaliśmy się wykorzystać sprzyjający czas oraz czynniki zewnętrzne i przeprowadzić przeglądy, czy też audyty techniczne koncentrujące się na zagadnieniach bezpieczeństwa w mniejszych firmach, organizacjach. Pod lupę wzięliśmy firmy zlokalizowane na Dolnym Śląsku, o różnej kondycji finansowej, różnych nakładach inwestycyjnych, z różnych sektorów gospodarki i z różnych miast o wielkości od kilku do kilkudziesięciu pracowników. Oczywiście nasza usługa wdrożenia RODO obejmuje nie tylko kwestie IT, ale głównie kwestie prawne, które regulują odpowiednie procesy, zapisy, zgody, umowy w organizacji. Ale nie na tym chciałem się skupić.
Jak podchodziły do RODO małe i średnie firmy? Z moich obserwacji wynika, że większość przedsiębiorców miała (i nadal ma) nikłe pojęcie na temat tego, czego dotyczy RODO. Generalnie myślę, że wszystkie takie podmioty można podzielić na grupy:
– „mnie to nie dotyczy” (np. firma pośrednictwa pracy czy biuro rachunkowe),
– „mam dużo czasu, poczekamy, aż jakaś duża firma zostanie ukarana” (firma windykacyjna),
– „o matko, to tyle kosztuje? – znajomy prawnik mówił, że za 600 złotych zrobi wszystko”,
– „są pilniejsze wydatki” ,
– „jak zmienię zgody na stronie www to będzie ok?”,
– „już od 2 miesięcy jesteśmy przygotowani”,
– „oj to tylko miesiąc do 25.maja, działamy!”.
Zazwyczaj konkluzje po audycie były takie, że:
– Dostęp do danych osobowych mają wszyscy pracownicy,
– Dane nie są w żaden sposób zabezpieczone (zarówno w wersji analogowej czy cyfrowej) przed niepowołanym dostępem,
– Dane przekazywane są podwykonawcom, dostawcom, kooperantom bez żadnych ograniczeń i umów między stronami,
– Nie są określone cele i zakres przetwarzania, nieznane jest pochodzenie danych,
– Zgody na przetwarzanie danych osobowych są niewłaściwe albo ich praktycznie nie było (najczęstsze błędy dotyczyły warunkowania realizacji zlecenia od wyrażenia zgody na przetwarzanie w celach marketingowych albo zakres zgody na przeprowadzanie procesów rekrutacji – zgoda dotyczyła konkretnej rekrutacji zaś CV wykorzystywane są nawet po kilku latach od wysłania przez kandydata).
Z mojego informatycznego punktu widzenia uważam, że RODO stało się przyczyną głębszego zastanowienia się kadry zarządzającej nad kwestiami bezpieczeństwa zasobów IT, rozumienia zagrożeń jakie czyhają przed organizacjami. To jest prawdziwy impuls do tego, żeby w końcu przystosować firmy do dzisiejszego, jakże groźnego, świata ransomware, hakerów, ataków DDoS czy zwykłych złodziei danych.
W ramach działań, jakie podjęliśmy w związku z RODO, rozmawialiśmy ze znaczną ilością przedstawicieli organizacji, chcąc się dowiedzieć więcej na temat stosowanych przez nich procedur i systemów bezpieczeństwa IT. Klienci wypełniali ankiety dotyczące w przeważającej części informacji nt. swojej infrastruktury IT czy też używanych narzędzi i systemów informatycznych.
Z działań tych wyłoniła się dość niepokojąca konkluzja – większość przedsiębiorstw nie jest praktycznie w żaden sposób zabezpieczona przed działaniem (świadomym czy nieświadomym) swoich pracowników, nie mówiąc już o „wrogiej” działalności.
Najczęstsze popełniane błędy w tym zakresie:
– brak zdalnych połączeń VPN,
– brak włączonego firewalla na komputerze, darmowy antywirus,
– brak backupu danych z systemu sprzedażowego/CRM/produkcji, jeśli jest to nieszyfrowany, jako skrypt, tworzący kopię danych najczęściej na tym samym urządzeniu,
– o backupie urządzeń końcowych to już nie wspomnę, to rzadkość – implementacja jedynie w 1/20 przypadków,
– zdarzały się karteczki z loginem i hasłem do systemu sprzedażowego naklejone na monitorze,
– brak zabezpieczenia stacji roboczych – chociażby automatyczne włączanie wygaszacza ekranu z hasłem,
– o szyfrowaniu danych / dysków / folderów czy poczty również nie ma co wspominać – zdarzył sie tylko jeden przypadek takich zabezpieczeń,
– brak zabezpieczeń urządzeń mobilnych – brak blokady (jeśli już to „narysuj wzór”), brak systemu anti-theft,
– współdzielone zasoby (z danymi osobowymi) między wszystkimi pracownikami – wszyscy mają dostęp do wszystkich zasobów plikowych,
– te same dane identyfikacyjne do logowania na komputerach albo ich całkowity brak,
– logowanie do systemu sprzedaży/CRM na jeden login i hasło,
– hasła do zasobów stałe, niezmieniane od lat,
– brak AD, co pozwoliłoby na zarządzanie całością stacji roboczych i praw poszczególnych użytkowników,
– brak przeprowadzonych jakichkolwiek szkoleń dla pracowników dotyczących bezpieczeństwa IT,
– w jednym z hoteli: wspólna sieć WiFi dla komputera pełniącego rolę serwera z systemem rezerwacji (a na nim oczywiście brak backupu, dostęp ok. 10 osób na jeden login i hasło) i dla gości…. Brak szyfrowania sieci WiFi, sieć otwarta,
– strony www – formularze z danymi osobowymi wysyłane bez szyfrowania, otwartym tekstem.
Co z tego wynika? SMB jest w powijakach, jeśli chodzi o bezpieczeństwo IT. Nie ma wiedzy, świadomości, odpowiedniej kadry, świadomych „dochodzących informatyków” opiekujących się IT, budżetów na zabezpieczenie choćby w minimalnym stopniu środowiska IT i danych przechowywanych w firmach.
Zazwyczaj uświadamiałem właścicielom firm, że są skłonni wydawać po kilkadziesiąt tysięcy złotych rocznie na ubezpieczenia aut w swojej firmie, zaś nie są w stanie wystosować kwoty 10 czy 20 tysięcy złotych na jakiś podstawowy pakiet bezpieczeństwa obejmujący profesjonalny system antywirusowy, backup, szyfrowanie, DLP czy VPN.
Czy RODO to zmieni? Myślę, że tak.
Czy od razu? Myślę, że to proces kilkuletni.
Dużo pracy przed nami!