Komunikaty PR

Ryzykowna ignorancja: co 5. firma nie dba o szkolenia z ochrony danych osobowych

2024-10-11  |  08:00
Biuro prasowe

81 proc. firm z sektora MŚP szkoli swoich pracowników z ochrony danych osobowych, ale niemal 3/5 tylko raz – po przyjęciu do pracy. Natomiast wysoce alarmujące jest to, że aż 20 proc. przedsiębiorców nie robi tego wcale – wynika z badania przeprowadzonego na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych. Tymczasem brak szkoleń lub ich sporadyczne przeprowadzanie może być bardzo kosztowne, ponieważ często niezamierzone błędy ludzkie są przyczyną wycieku lub kradzieży danych przez hakerów.

 

Nieprzeszkoleni pracownicy to najsłabsze ogniwo w systemie zabezpieczeń danych osobowych w każdej firmie, niezależnie od jej wielkości. Tacy ludzie popełniają podstawowe błędy: otwierają podejrzane e-maile, klikają w zawarte w nich linki, stosują słabe, łatwe do odgadnięcia hasła, wysyłają e-mailem nieszyfrowane pliki lub przechowują w chmurze niezabezpieczone dokumenty z danymi osobowymi, czy przegrywają je na niezabezpieczone pendrive’y bądź zewnętrzne dyski. W efekcie w najlepszym wypadku firma może utracić zaufanie pracowników i klientów, a w najgorszym ponieść dotkliwą karę finansową.

Choć informacja, że 81 proc. firm z sektora MŚP szkoli pracowników z ochrony danych osobowych brzmi nieźle, to znacznie gorzej to wygląda, kiedy przyjrzeć się bliżej wynikom badania. Otóż aż 59 proc. ankietowanych, robi to jedynie na początku zatrudnienia. Wśród nich dominują mikrofirmy (59 proc.) w porównaniu do średnich (52 proc.) i małych (40 proc.). Najczęściej są to przedsiębiorcy z branży usługowej (67 proc.) i budowlanej (61 proc.), z przewagą jednoosobowych działalności gospodarczych (63 proc.) niż spółek (55 proc.).

– Brak szkoleń u pracodawców widoczny jest w przypadku wielu zgłaszanych naruszeń ochrony danych. Można to zauważyć w przypadkach, w których do ujawnienia danych osobowych niewłaściwej osobie dochodzi w skutek nieprawidłowego zaadresowania przesyłki z danymi czy ataków ransomware, do których by nie doszło, gdyby personel był odpowiednio przeszkolony na okoliczność takich sytuacji. Ważne jest też by szkolenia były cykliczne, przypominające odpowiednie zasady bezpieczeństwa i cały czas dostosowywane do pojawiających się nowych zagrożeń – mówi Jacek Młotkiewicz, dyrektor Departamentu Kar i Naruszeń Urzędu Ochrony Danych Osobowych.

Niestety zaledwie 22 proc. respondentów deklaruje, że ponawia szkolenia pracowników w trakcie zatrudnienia. Co ciekawe, spośród nich korzystniej wypadają małe firmy (41 proc.) w porównaniu do średnich (35 proc.) i mikro (21 proc.). Jednym z powodów może być mniejsza rotacja personelu. Wyróżniają się przedsiębiorstwa z branży produkcyjnej (57 proc.), handlowej (35 proc.) i transportowej (34 proc.). Częściej są to spółki (31 proc.) niż jednoosobowe działalności gospodarcze (12 proc.).

 

Człowiek najsłabszym ogniwem

Co może niepokoić, wyjątkowo lekceważące podejście ma aż 20 proc. respondentów, którzy wcale nie szkolą pracowników z ochrony danych osobowych. Spośród nich największy grzech popełniają mikrofirmy (20 proc.), a mniejszy małe (18 proc.) i średnie (14 proc.). Najczęściej tego przewinienia dopuszczają się przedstawiciele branży transportowej (32 proc.) oraz produkcyjnej i usługowej (po 20 proc.). Przeważają jednoosobowe działalności gospodarcze (25 proc.) niż spółki (15 proc.), które działają na rynku powyżej 10 lat (46 proc.).

– Wielu właścicieli firm z sektora MŚP lekceważy zagrożenie ze strony hakerów. Uważają, że nie są atrakcyjnym celem ataków. Często też nie wiedzą, że to człowiek jest najsłabszym ogniwem w starciu z cyberprzestępcami. W efekcie, jeśli nawet przedsiębiorcy stosują silne zabezpieczenia, to w wyniku jakiegokolwiek braku szkoleń zatrudnianego personelu znacznie zwiększają ryzyko błędu ludzkiego, który może zakończyć się kradzieżą lub wyciekiem danych. Nie tylko własnych pracowników, lecz także klientów i kontrahentów – ostrzega Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.

 

Co ósma firma na celowniku hakerów

A ryzyko jest bardzo realne. W Polsce działa 2,3 mln mikro, małych i średnich firm. Tymczasem 12 proc. respondentów deklaruje, że doszło w nich do próby kradzieży danych osobowych. W rezultacie zagrożonych atakiem mogło być 281,5 tys. przedsiębiorstw z sektora MŚP. Z kolei co czwarty badany twierdzi (3 proc.), że próba włamania zakończyła się sukcesem cyberprzestępców. W efekcie hakerzy mogli wykraść dane z 70,4 tys. firm.

Jednak należy pamiętać, że mówimy tylko o wykrytych przypadkach. Niestety wielu ankietowanych może nie być świadomych, że hakerzy skutecznie wykradli dane z ich firm. Włamania do komputerów nie pozostawiają śladów widocznych dla laików.

Spośród respondentów, którzy deklarują, że doszło w nich do próby kradzieży danych, odrobinę częściej ma to miejsce w średnich firmach (10 proc.) w porównaniu do mikro (9 proc.) i małych (7 proc.). Wśród nich dwukrotnie więcej jest spółek (12 proc.) niż jednoosobowych działalności gospodarczych (6 proc.), które na rynku funkcjonują od 5 do 10 lat.

Cyberprzestępcy szczególnie upodobali sobie przedsiębiorstwa z branży transportowej, do których zgodnie z deklaracjami respondentów zdecydowanie najczęściej usiłowali się włamać (32 proc.). Z kolei kradzież danych osobowych zakończyła się sukcesem w przypadku 19 proc. przedsiębiorstw z sektora produkcyjnego.

– Firmy transportowe i produkcyjne są łakomym kąskiem dla hakerów ze względu na dużą liczbę realizowanych zamówień. W związku z tym przetwarzają dane osobowe wielu klientów. Tym bardziej ich wyciek lub kradzież przez hakerów w wyniku błędu nieprzeszkolonego pracownika może być bardzo kosztowny. Skutkiem będzie nie tylko dotkliwa kara finansowa, lecz zapewne utrata reputacji wśród partnerów biznesowych oznaczająca spadek zysków – mówi Bartłomiej Drozd.

A dane osobowe wykradzione z firmy mogą być dla hakerów bezcenne. Zgodnie z deklaracjami respondentów, 86 proc. firm z sektora MŚP przetwarza imię i nazwisko swoich pracowników. Nieco rzadziej numer telefonu (80 proc.), adres zamieszkania i numer PESEL (po 75 proc.). W dalszej kolejności adres e-mail (70 proc.), numer rachunku bankowego (68 proc.), numer dowodu osobistego (62 proc.) i dane zdrowotne (43 proc. – np. o absencjach lub przebytych chorobach).

 

Kosztowna niewiedza

Pozornie wydaje się, że przedsiębiorcy wiedzą, jakie kroki należy podjąć w razie próby lub po dokonaniu przez hakerów kradzieży, wycieku, utraty bądź wyłudzenia danych osobowych. Niestety jest ich za mało. 59 proc. respondentów zgłosiłoby ten fakt organom ścigania. Natomiast 57 proc. ankietowanych poinformowałoby o tym poszkodowane osoby oraz zmieniłoby hasła dostępu na komputerach. Z kolei 52 proc. zwiększyłoby poziom zabezpieczeń. Niestety, ale oznacza to, że aż ponad 40 proc. właścicieli firm z sektora MŚP nie wie, jak prawidłowo zachować się w przypadku cyberataku.

Niepokojące jest również, że zaledwie 42 proc. respondentów deklaruje, że w razie kradzieży danych zgłosiłoby ten fakt do Urzędu Ochrony Danych Osobowych. Pomimo że zgodnie z przepisami przedsiębiorcy jako administratorzy mają taki obowiązek, jeżeli istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego wpływu na osoby, których dane dotyczą. Jeśli go nie dotrzymają, a istnieje ryzyko np. tzw. kradzieży tożsamości dla osób, których dane wykradziono, to administratorzy narażają się na wysokie kary ze strony Prezesa UODO. Może to oznaczać, że niemal co druga firma raczej będzie starała się zbagatelizować skutki utraty lub ukryć kradzież danych.

– Zgłoszone naruszenie może stanowić dla Prezesa UODO impuls do zbadania, jak administrator przestrzega przepisy RODO i dopiero gdy postępowanie wykaże nieprawidłowości może zostać wydana decyzja karowa dodaje Jacek Młotkiewicz.

Natomiast 41 proc. respondentów w razie kradzieży lub wycieku danych udzieliłoby pomocy poszkodowanym poprzez włączenie im na koszt firmy usługi monitorowania użycia numeru PESEL. Natomiast 15 proc. wynajęłoby prawników.

 

Badanie zostało przeprowadzone przez TGM Research na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych (UODO) w maju 2024 r. techniką wywiadów internetowych (CAWI) na próbie 400 przedstawicieli firm MMŚP spełniających kryterium decyzyjności oraz przetwarzających dane osobowe.

 

Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Biurze Prasowym”, których autorami są zarejestrowani użytkownicy tacy jak agencje PR, firmy czy instytucje państwowe.
Ostatnio dodane
komunikaty PR z wybranej przez Ciebie kategorii
Firma Maxi Zoo z wyróżnieniem Friendly Workplace 2024 Biuro prasowe
2024-11-28 | 13:00

Maxi Zoo z wyróżnieniem Friendly Workplace 2024

Maxi Zoo, lider w branży zoologicznej, zostało wyróżnione prestiżowym godłem „Friendly Workplace 2024” za swoje nowoczesne podejście do zarządzania relacjami z
Firma Poszerzenie składu Zarządu FBSerwis S.A.
2024-11-28 | 09:30

Poszerzenie składu Zarządu FBSerwis S.A.

26 listopada br. Rada Nadzorcza FBSerwis S.A. podjęła decyzję o poszerzeniu składu Zarządu FBSerwis S.A. – spółki należącej do Grupy Budimex, zajmującej się gospodarką
Firma Język finansów – co każdy menedżer rozumieć powinien?
2024-11-27 | 12:00

Język finansów – co każdy menedżer rozumieć powinien?

OPEX, CAPEX, ROI, ROE, ROCE, narzut, marża – znajomość finansowej terminologii nie powinna być zarezerwowana w firmie dla dyrektora finansowego czy członków zarządu. Finanse są

Kalendarium

Więcej ważnych informacji

Jedynka Newserii

Jedynka Newserii

Infrastruktura

Budowa sieci szybkiej łączności dla polskiej energetyki wchodzi w kolejny etap. Czas usuwania awarii będzie krótszy

Spółka PGE Dystrybucja podpisała z firmą Ericsson umowę na dostawę blisko 600 systemów zasilania dla radiowych stacji bazowych i transmisyjnych węzłów agregacyjnych w ramach Programu LTE450. Jest to już ostatni kontrakt na dostawę kluczowych składników sprzętu telekomunikacyjnego sieci LTE450. Jego realizacja ma umożliwić budowę sieci o kluczowym znaczeniu dla sektora energetycznego, co przyspieszy jego cyfryzację.

Ochrona środowiska

Wzmocniona ochrona ponad 1,2 mln ha lasów. Część zostanie wyłączona z pozyskiwania drewna

Lasy Państwowe przedstawiły plan zwiększenia ochrony dla 17 proc. terenów leśnych, którymi zarządzają. To w sumie ponad 1,2 mln hektarów, z których 0,5 mln ha ma być całkowicie wyłączone z pozyskania drewna. Dodatkowa ochrona obejmie najcenniejsze przyrodniczo lasy w Polsce, w tym m.in. nadleśnictwa Puszczy Białowieskiej i najstarsze lasy w Polsce. Przedstawiciele LP podkreślają, że propozycja jest bezpieczna gospodarczo, ponieważ uwzględnia potrzeby przemysłu drzewnego i lokalnych mieszkańców.

Telekomunikacja

M. Wąsik: Potrzeba twardej reakcji UE na uszkodzenie kabli na Bałtyku. To element wojny hybrydowej

– Nie pohukiwanie w Parlamencie Europejskim, ale twarde sankcje, które Komisja powinna jak najszybciej zaproponować – mówi Maciej Wąsik, europoseł z PiS, zapytany o potrzebną reakcję państw Unii Europejskiej na uszkodzenie kabli biegnących na dnie Morza Bałtyckiego. Jak podkreśla, nikt nie ma wątpliwości, że to element wojny hybrydowej prowadzonej przez Rosję. Dlatego potrzebna jest jednolita i silna odpowiedź UE oraz większe wsparcie dla Ukrainy.

Partner serwisu

Instytut Monitorowania Mediów

Szkolenia

Akademia Newserii

Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a  także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.