Firmy często testują nowe rozwiązania na realnych danych swoich klientów. To zwiększa ryzyko ich kradzieży

Wiele firm testuje nowe rozwiązania, opierając się na rzeczywistych danych obecnych klientów lub kontrahentów. Takie środowisko testowe zwiększa ryzyko wycieku poufnych informacji. To z kolei naraża przedsiębiorstwo na poważne konsekwencje – zarówno finansowe, wizerunkowe, jak i prawne, związane z RODO. Polska firma opracowała rozwiązanie, które zapewnia bezpieczeństwo i wiarygodność danych w środowisku nieprodukcyjnym. Informacje są anonimizowane w oparciu o polskie algorytmy, ale zachowują przy tym realizm i właściwości statystyczne.

– Testy i wdrożenia są najbardziej newralgicznym obszarem, w którym najczęściej dochodzi do wycieku danych. Zwykle te dane znajdują się poza systemem zabezpieczeń organizacji, dosyć często dochodzi do uproszczeń przy budowaniu środowisk testowych i wykorzystywane są dane produkcyjne, co może później powodować kłopoty. Zdarza się, że ktoś wykorzysta te dane w sposób niezgodny z polityką firmy. Z badań wynika, że jeden taki incydent bezpieczeństwa może kosztować organizację średnio 3,6 mln dol., a wyciek jednego rekordu danych to średnio koszt 141 dol. Każdy taki przypadek to też utrata reputacji, co już dużo trudniej wycenić – podkreśla w rozmowie z agencją Newseria Biznes Tomasz Szadkowski, prezes Soflab Technology.

Wyciek danych klientów czy kontrahentów albo informacji dotyczących przedsiębiorstwa, takich jak raporty finansowe czy plany rozwoju, to dla firm zagrożenie, które może powodować ogromne straty zarówno finansowe, jak i wizerunkowe. Pokazuje to choćby ostatni przykład koncernów motoryzacyjnych. W lipcu br. 160 GB danych – w tym również takich, które były objęte klauzulą poufności – trafiło na publiczne serwery. Do sieci trafiły m.in. poufne dane Forda, General Motors, Tesli i Volkswagena.

Do takiego wycieku może dojść w wyniku ataku hakerskiego (według KPMG w ubiegłym roku 82 proc. polskich firm odnotowało przynajmniej jeden cyberincydent), jednak główną przyczyną jest czynnik ludzki, czyli celowe działanie albo zwyczajny brak ostrożności ze strony pracowników.

– Średni czas wykrycia takich incydentów to 191 dni, natomiast z badań wynika, że 56 proc. organizacji nigdy nie wykrywa wycieku danych. Dowiaduje się o tym od swoich klientów i dopiero wtedy uruchamiana jest cała procedura wyjaśniania zaistniałej sytuacji i poszukiwania źródeł problemu – mówi Tomasz Szadkowski.

Eksperci podkreślają, że środowisko testowe lub deweloperskie jest jednym z tych obszarów w firmie, gdzie najłatwiej dochodzi do wycieku danych. Tworzenie środowiska, które odwzorowuje dane produkcyjne, jest skomplikowane i czasochłonne. Dlatego często testy są przeprowadzane na danych rzeczywistych, np. klientów lub kontrahentów firmy. To jednak wiąże się z ryzykiem, że dostęp do nich będą mieć osoby nieuprawnione albo nie zostaną zachowane należyte środki bezpieczeństwa.

– Nie ma na rynku rozwiązań, które ograniczałyby wycieki danych w 100 proc. Dlatego istotne jest, żeby dane zabezpieczyć nie tylko od strony technicznej, lecz także od strony formalnej. Zawsze mamy do czynienia z technicznymi zabezpieczeniami czy monitoringiem, a z drugiej strony z użytkownikiem, który te dane wprowadza i nimi operuje. Tu pojawia się problem. O ile w przypadku produkcji każdy z operatorów jest świadom, że pracuje na danych klienta, o tyle w środowisku nieprodukcyjnym, podczas testów i szkoleń, ten sam użytkownik już nie pomyśli, że te informacje mogą być kopią danych z produkcji i pozostają wrażliwe – mówi Marcin Myrta, Business Intelligence i Smart Data Unit Manager w Soflab Technology.

Polska firma specjalizująca się w testowaniu i zapewnianiu jakości rozwiązań ICT opracowała rozwiązanie, które zapewnia bezpieczeństwo, spójność i wiarygodność danych w środowisku nieprodukcyjnym.

– Soflab GALL pozwala usunąć dane wrażliwe ze środowisk testowych i szkoleniowych. Te dane są anonimizowane, zaciemniamy je, miksujemy, zmieniamy. Robimy to jednak w taki sposób, aby nadal statystycznie i analitycznie odzwierciedlały produkcję – mówi Marcin Myrta.

Anonimizacja danych przez system Soflab GALL oznacza, że przykładowo zamaskowany wiek klienta nadal znajduje się w tej samej grupie, a suma kontrolna PESEL lub karty kredytowej jest obliczana poprawnie. Co istotne, anonimizacja odbywa się w oparciu o polskie algorytmy. W ten sposób osoby, które pracują na tych danych, nie zauważają różnicy i mogą skutecznie przeprowadzać testy, programować czy wykonywać analizy. Jednocześnie ryzyko wycieku i ujawnienia poufnych informacji zostaje wyeliminowane.

– Trzeba podkreślić, że jest to polskie rozwiązanie. Inne narzędzia dają być może zbliżone wyniki, natomiast GALL nastawiony jest na stricte polskie algorytmy. To nie będzie national ID, ale nasz polski numer PESEL albo NIP wylosowany spośród takich, które mają szansę faktycznie wystąpić na polskim rynku. Jeżeli oprogramowanie, którego używamy, w jakiś sposób waliduje te numery, to Soflab GALL jest na to przygotowany – podkreśla Marcin Myrta.

Bezpieczeństwo danych ma kluczowe znaczenie zwłaszcza teraz, kiedy od maja br. obowiązuje RODO, czyli ogólne rozporządzenie o ochronie danych osobowych. Nakłada ono na firmy oraz wszystkie podmioty przetwarzające dane wyśrubowane wymogi dotyczące ich ochrony. Za niespełnienie należytych standardów firmom grożą wysokie kary. Rozwiązanie opracowane przez Soflab zapewnia bezpieczeństwo, a także umożliwia realizację prawa do zapomnienia, które jest jednym z najważniejszych wymogów RODO.