Mörg fyrirtæki reiða sig nú algerlega á gögn sem geymd eru á netþjónum þeirra, tölvum, fartölvum, snjalltækjum – eða í skýinu. Sum þessara gagna eru líkleg til að innihalda annað hvort persónuupplýsingar og/eða trúnaðarupplýsingar fyrirtækisins.
Hér skoðum við nokkur atriði sem þarf að hafa í huga þegar öryggi tölvukerfa er endurskoðað og hvernig hægt er að lágmarka hættuna á gagnatapi. Við höfum upplýsingablað sem fjallar um nokkur viðbótaratriði fyrir þá sem eiga gögn í skýinu eða nota einhvers konar útvistun.
Það hafa verið mörg áberandi atvik þar sem gagnatap hefur ratað í almenningseign. Þar á meðal eru heilsufarsupplýsingar, fjárhagsupplýsingar og upplýsingar um starfsmenn.
Fyrirtæki í viðskiptum stendur einnig frammi fyrir þeirri auknu áhættu að gögn glatist til samkeppnisaðila.
Augljóslega hefur stærra gagnatap frá ríkisstofnunum og fyrirtækjum ratað í fréttirnar. Hins vegar gæti hvaða fyrirtæki sem er, óháð stærð, orðið fyrir gagnatapi nema skynsamlegar varúðarráðstafanir séu gerðar.
Samkvæmt rannsókn sem Menningar-, fjölmiðla- og íþróttaráðuneytið (DCMS) lét gera árið 2021 höfðu um 39% fyrirtækja í Bretlandi orðið fyrir einhvers konar öryggisbroti eða netárás. Skýrsluna má finna á: https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2022.
Endurskoðun á notkun og geymslu persónuupplýsinga
Íhugaðu hugsanlega viðkvæmar og trúnaðarupplýsingar sem fyrirtæki þitt geymir:
- Starfsmannaskrár með fæðingardegi, læknisfræðilegum upplýsingum, launum og bankareikningsupplýsingum o.s.frv
- Skrár viðskiptavina og birgja með upplýsingum um bankareikninga/kreditkort, PIN-númer, lykilorð, upplýsingar um færslur, samningsupplýsingar, afslætti og verðlagningu
- fjárhags- og afkomugögn og viðskiptaáætlanir
- Trúnaðargögn eru ekki alltaf geymd á þægilegan hátt í „öruggum“ gagnagrunni. Oft þurfa starfsmenn að búa til og dreifa tilfallandi skýrslum (með því að nota töflureikna og önnur skjöl) sem eru venjulega útdrættir úr upplýsingum sem geymdar eru í gagnagrunni. Þessi tegund gagnaöflunar er oft gerð á kostnað gagnaöryggis - þar sem gagnagrunnurinn sjálfur hefur óhjákvæmilega aðgangsstýringar, en þessar tilfallandi skýrslur hafa það venjulega ekki
- komast að því hvað er að gerast við gögn og hvaða stjórntæki eru til staðar til að koma í veg fyrir að þessar upplýsingar tapist fyrir slysni eða af ásettu ráði.
Áhættugreining og áhættuminnkun
Lykilspurningin er – ef öll eða einhver þessara gagna glatast, hver gæti þá orðið fyrir tjóni og hvernig?
Þegar þeirri spurningu hefur verið svarað þarf að grípa til aðgerða til að draga úr hættu á gagnatapi. Hér eru nokkur skref sem ætti að grípa til til að draga úr hættu á gagnatapi:
- taka reglulega afrit og geyma afrituð gögn á öruggan hátt utan staðar
- Ef áhættusöm gögn eru geymd í skýinu, skiljið þá hvaða öryggisráðstafanir eru í gildi og hvernig hægt er að sækja öll þessi gögn ef þörf krefur
- Farið yfir þær upplýsingar sem eru geymdar á öllum tækjum (þar á meðal fartölvum, farsímum, spjaldtölvum o.s.frv.) sem notuð eru utan vinnustaðar. Ef slíkar upplýsingar innihalda persónuupplýsingar og/eða trúnaðarupplýsingar skal reyna að lágmarka eða nafnleyna gögnunum. Tryggið að viðeigandi gagnaöryggi og dulkóðun sé notuð á þessum gögnum
- Ef farsímum er heimilt að nota aðstöðu fyrirtækisins skal tryggja að virk stefna um að koma með eigið tæki (BYOD) sé í gildi. Að auki skal innleiða viðeigandi öryggisráðstafanir til að takmarka þær tegundir gagna sem má geyma á slíkum tækjum
- tryggja að vefsíður fyrirtækja sem vinna úr netgreiðslum hafi hæsta mögulega öryggisstig, svo sem að nota nýjustu útgáfur af SSL fyrir gagnaflutning. Ef þú sendir ekki greiðsluferlið til greiðslugáttarþjónustu og geymir kreditkortaupplýsingar, annað hvort á diski eða í minni á þínum eigin netþjónum, þarftu að fylgja gagnaöryggisstaðlinum fyrir greiðslukort (PCI DSS).
- Farið yfir notkun/framboð á USB og öðrum skriffærum miðlum eins og ljósleiðarum innan fyrirtækisins og hugleitt að takmarka aðgang að þessum tækjum við aðeins viðurkennda notendur, með viðeigandi öryggisstillingum, gagnadulkóðun og efnislegum stýringum
- Gakktu úr skugga um að vefsíður og net fyrirtækja séu prófuð fyrir veikleika gegn árásum og íhugaðu að ráða fyrirtæki sem prófa innbrotsprófanir til að framkvæma þessar prófanir fyrir þína hönd
- hafa verklagsreglur um meðhöndlun viðkvæmra upplýsinga og örugga förgun þeirra þegar þeirra er ekki lengur þörf, þetta ætti einnig að fela í sér förgun útprentaðra upplýsinga
- hafa verklagsreglur þar sem hægt er að eyða eða fjarlægja aðgang að persónuupplýsingum/fyrirtækjaupplýsingum sem geymdar eru á snjalltækjum
- þjálfa starfsfólk um ábyrgð sína, verklagsreglur fyrirtækisins varðandi gagnaöryggi og hvað það ætti að gera ef gögn týnast
- þjálfa starfsfólk til að bera kennsl á ólöglegan tölvupóst, ransomware, spilliforrit og aðrar hugsanlegar ógnir, sem og hvaða verklagsreglur ætti að fylgja.
Öryggisbrot
Auk þess að draga úr áhættu er einnig góð starfshættir að hafa verklagsreglur til staðar ef öryggisbrot á sér stað. Þetta ætti að einbeita sér að fjórum meginþáttum:
- viðgerðaráætlun og verklagsreglur til að takast á við að takmarka tjón
- ferli endurskoðunar á bata til að meta hugsanlegar neikvæðar afleiðingar fyrir einstaklinga, hversu alvarlegar eða umfangsmiklar þessar afleiðingar eru og hversu líklegt er að þær gerist aftur
- Tilkynningarferli – þetta felur ekki aðeins í sér að tilkynna einstaklingum sem hafa orðið fyrir eða gætu orðið fyrir áhrifum. Ef öryggisbrotið felur í sér tap á persónuupplýsingum ætti að láta upplýsingafulltrúann vita. Það geta verið aðrar eftirlitsstofnanir og aðrir þriðju aðilar eins og lögregla, bankar og fjölmiðlar sem þurfa að fá upplýsingar
- eftir brot – tryggja að viðeigandi ráðstafanir séu gerðar til að koma í veg fyrir svipað atvik, uppfæra verklagsreglur og þjálfa eða endurþjálfa starfsfólk í samræmi við það.
Gagnleg úrræði
Þjóðarmiðstöð netöryggis (Bretland) – www.ncsc.gov.uk/guidance.
Netógnin við bresk fyrirtæki – www.ncsc.gov.uk/cyberthreat.
