Wyciek informacji FIRMY może kosztować nawet 20 mln euro ! Temat RODO zdążył już nieco spowszechnieć przedsiębiorcom. Powstały wewnętrzne regulacje i procedury, które dają obraz jak postępować w firmie w tym zakresie. Często wydają się one jednak zbyt ogólne, zwłaszcza w kwestii danych elektronicznych, które coraz mocniej dominują w codziennej działalności firmy. Jasne jest, że trzeba je chronić, właściwie przechowywać ale jak je usuwać? Ten temat dla wielu pracowników i menedżerów nie jest oczywisty. A warto przypomnieć, że wyciek informacji firmy w tym danych wrażliwych również tych w formie elektronicznej może kosztować nawet 20 mln euro.
Wyciek informacji a RODO.
Dyrektywa dotycząca RODO obowiązuje wszystkie firmy i instytucje, które gromadzą dane osób fizycznych. Przedsiębiorcy muszą więc wprowadzać wewnętrzne ustalenia w tym zakresie i je konsekwentnie stosować. Odpowiadają za wszelkie uchybienia nie tylko finansowo ale również karnie. Administrator danych wrażliwych firmy – zwykle właściciel – podlega karze ograniczenia wolności lub jej pozbawienia nawet do 3 lat jeżeli zostaną stwierdzone nieprawidłowości. Dodatkowo przepisy dopuszczają możliwość nałożenia kar pieniężnych w wysokości do 10 mln euro lub do 2% rocznego obrotu przedsiębiorstwa za niewłaściwe zabezpieczenie danych osobowych i do 20 mln euro lub do 4% rocznego obrotu firmy za przetwarzanie danych niezgodnie z zasadami RODO. Pamiętaj, że „przetwarzanie” to również usuwanie danych wrażliwych! Stosowanie niewłaściwych metod i zaniedbania w tym zakresie oznaczać mogą kłopoty.
Metody usuwania.
Kiedy więc w firmie wymieniany jest służbowy sprzęt komputerowy konieczne są działania, które zagwarantują właściwe usunięcie informacji zapisanych i przechowywanych na elektronicznych nośnikach. Domowe sposoby nie mają w tym przypadku zastosowania. Dodanie plików, baz danych czy elektronicznych teczek pracowników do kosza na pulpicie trudno nazwać usunięciem danych wrażliwych. Podobnie nie wystarczające może być formatowanie. Rekomendowane są profesjonalne metody: programowe nadpisywanie danych znajdujących się na dysku lub całkowite zniszczenie fizyczne nośnika.
Outsourcing niszczenia danych?
Optymalnym rozwiązaniem jest zlecenie tych zadań firmom zewnętrznym. Usuwanie danych elektronicznych wymaga wiedzy i znajomości budowy oraz sposobu działania nośników. Istotne będzie również doświadczenie, które pozwoli uniknąć błędów podczas usuwania. Każda z metod ma swoje zalety oraz wady, może przebiegać bezproblemowo ale mogą się pojawić problemy podczas wykonywania działań. Niekiedy proces wymaga powtórzenia lub stan dysku mocno utrudnia jego wykonanie. Trzeba rozważyć i wybrać optymalne rozwiązanie, które nie będzie ryzykowane dla bezpieczeństwa danych.
Usuwanie danych elektronicznych to również czasochłonne zadanie, a każda komplikacja, pojawiające się utrudnienie wydłużają konieczny do tych zadań czas. Nie zawsze zespoły IT mogą sobie pozwolić na koncentrowanie się na jednym zadaniu tak długo, kiedy zwykle czeka spora lista innych do wykonania. Stąd outsourcing będzie optymalnym i najbezpieczniejszym dla firmy rozwiązaniem. Koszty wykonania tego rodzaju usługi są niewielkie w stosunku do możliwych kosztów związanych z wyciekiem danych wrażliwych przedsiębiorstwa.
Programowe nadpisanie
Programowe nadpisywanie danych zapisanych w pamięci komputera, laptopa czy smartfonu oznacza ich zastąpienie ciągiem przypadkowych znaków. Niemożliwe jest całkowite wymazanie informacji, które dotychczas zostały na nim zebrane. Istnieje kilka algorytmów nadpisywania programowego danych i każde można przeprowadzać nawet kilkakrotnie na jednym nośniku. Jednak już jednorazowe działanie daje pewność, że informacje wrażliwe nie będą mogły być ponownie odczytane. Kolejny użytkownik komputera lub osoba postronna, która uzyska dostęp do dysku nie będzie mogła odczytać gromadzonych wcześniej informacji dotyczących pracowników, ich przekonań, przynależności do grup etnicznych, religijnych, stanu zdrowia, chorób i dysfunkcji itp. Bezpowrotnie zostały utracone.
Dodatkowym potwierdzeniem poprawności usunięcia jest dla przedsiębiorcy automatyczny raport generowany przez oprogramowanie wykorzystywane do tego celu. Raport nie tylko przedstawia zakres wykonanych działań ale również stanowi potwierdzenie, ze dotychczasowy administrator danych wykonał wymagane działania w tym zakresie i zastosował profesjonalne metody usuwania danych elektronicznych.
Niszczenie fizyczne
Alternatywnym rozwiązaniem do programowego nadpisywania jest fizyczne zniszczenie nośnika danych. To radykalniejsze działania, które uniemożliwia późniejsze użycie. Dysk zostaje całkowicie zniszczony poprzez demagnetyzację, rozdrobnienie w specjalnej niszczarce lub poprzez działanie silnie żrących substancji chemicznych. Fizyczne niszczenie również możliwe jest do potwierdzenie poprzez specjalistyczny raport. Dokument generowany jest automatycznie w przypadku niszczarek, młynów rozdrabniających. W pozostałym metodach możliwy jest do wygenerowania przez zespoły zajmujące się procesem.
