Ochrona danych w małych przedsiębiorstwach? Do poprawy!

piątek, 27 października 2017 przez Michael Nuncic

Security

Jak wygląda cyfryzacja europejskich przedsiębiorstw? Jak firmy z sektora MŚP radzą sobie z przetwarzaniem, przechowywaniem i ochroną danych? To pytania, które pojawiają się coraz częściej, głównie ze względu na zbliżający się maj 2018 r. Dlaczego akurat maj? Ponieważ to wtedy wejdzie w życie RODO, czyli Regulacje Unii Europejskiej dot. Ochrony Danych Osobowych (EU GDPR).

W maju tego roku zaatakował ransomware WannaCry, który sparaliżował działanie licznych firm na całym świecie, przechwycił firmowe dane i doprowadził do zablokowania wielu procesów. Później była jeszcze Petya, a obecnie media donoszą o nowym ransomware o nazwie BadRabbit. Zagrożeń jest coraz więcej, ale czy europejskie małe przedsiębiorstwa wiedzą, jak się przed nimi chronić?

Firmy muszą się jeszcze wiele nauczyć w dziedzinie bezpieczeństwa IT oraz w zakresie przetwarzania danych. Przynajmniej te mniejsze – tak wynika z najnowszych badań przeprowadzonych przez Kroll Ontrack.

Bez danych przedsiębiorstwa nie mogą funkcjonować

Dla małych firm zatrudniających do 50 pracowników w przypadku utraty danych liczy się każda minuta. Aż 73 procent z nich nie może w ogóle funkcjonować bez dostępu do danych lub są one w stanie pracować produktywnie jedynie kilka godzin bez ponoszenia ekonomicznych strat. Niemniej jednak tylko co druga firma sprawdza, czy dane będą mogły zostać odzyskane w nagłych sytuacjach, na przykład w przypadku cyberataku lub awarii systemu.

Dla 48 procent przebadanych przedsiębiorstw dane są podstawą ich codziennej pracy. Każda utrata danych oznacza dla nich przestój i poniesienie strat. Jedna na cztery firmy (25 procent) może mimo to funkcjonować, jednak tylko przez kilka godzin. 17 procent organizacji może pracować kilka dni bez dostępu do danych. Tylko dla 10 procent firm zatrudniających maksymalnie 50 pracowników dane nie mają decydującego znaczenia dla zachowania ciągłości firmy.

Małe przedsiębiorstwa powinny być świadome obowiązku przechowywania danych

Strata ekonomiczna spowodowana utratą danych nie jest jedynym ryzykiem, na jakie narażone są małe przedsiębiorstwa. Istnieje również ryzyko, że nie będą one w stanie wywiązać się ze swoich obowiązków w zakresie prowadzenia dokumentacji. W krajach europejskich funkcjonują liczne przepisy i regulacje dotyczące gromadzenia i przechowywania informacji. Na przykład podatki, dane osobowe, bezpieczeństwo danych i wiele innych dziedzin związanych z działalnością gospodarczą wymaga przechowywania dokumentów w formie cyfrowej nawet przez kilka dekad.

Jednak tylko 62 procent organizacji z sektora MŚP objętych sondażem jest świadoma tych przepisów. Jedna trzecia nie zdaje sobie sprawy z wymogów dotyczących przechowywania danych. Przeciwnie – ich właściciele oświadczyli, że ich firma nie ma żadnych zobowiązań w zakresie magazynowania. Kolejne pięć procent nie ma nawet pojęcia, czy takie regulacje w ogóle mają na nie jakiś wpływ.

Nieprawidłowo wykona kopia zapasowa może stanowić zagrożenie dla danych

Połowa wszystkich respondentów nie wie, czy ich dane są wystarczająco zabezpieczone. Stwierdzili oni, że nie sprawdzają regularnie, czy w nagłych przypadkach możliwe jest odzyskanie danych znajdujących się w backupie. Tylko około jedna czwarta firm kontroluje tworzenie kopii zapasowych raz w tygodniu, taki sam odsetek robi to raz w miesiącu. Raz w roku backupy sprawdza 15 procent organizacji. Prawie 10 procent firm nie pamięta, kiedy ostatni raz była przeprowadzona kontrola kopii zapasowych danych, a reszta badanych, czyli aż 25 procent nigdy nie sprawdzała backupu i tego, czy dane są odpowiednio zabezpieczone. Ich właściciele przyznali, że w zasadzie nawet nie wiedzieli, że powinni to w ogóle sprawdzać...

Z reguły firmy z sektora MŚP nie dysponują budżetem na zlecanie usług informatycznych zewnętrznym dostawcom. Według sondażu tylko 16 procent z nich korzysta z takiego „luksusu”. Dwie na trzy małe firmy samodzielnie zarządzają swoimi systemami IT. Pozostałe 18 procent próbuje robić wewnętrznie to, co tylko jest w stanie.

Jednak to właśnie taki sposób postępowania i podejścia do procesów przechowywania danych i tworzenia kopii zapasowych niesie ze sobą ogromne ryzyko. Jeśli kadra kierownicza działu IT nie jest w pełni poinformowana o aktualnych przepisach prawa lub o sposobach postępowania z danymi, może się zdarzyć, że prawidłowe procesy wykonywania backupu nie zostaną wdrożone lub systemy nie będą prawidłowo skonfigurowane. Znacznie utrudnia to odzyskiwanie danych w przypadku wystąpienia awaryjnej sytuacji. Regularne kontrole pozwalają wykryć ewentualne błędy w backupach i je odpowiednio wcześnie naprawić.

Ochrona danych – światełko w tunelu

Jednak na mapie europejskich małych przedsiębiorstw istnieje także jasny punkt w zakresie tworzenia backupów. 40 procent firm wykonuje kopie zapasowe swoich danych codziennie lub nawet kilka razy dziennie, aby chronić się przed utratą danych. Kolejne 29 procent robi to co tydzień, a 22 procent raz w miesiącu. Z całą pewnością jest to krok w dobrym kierunku. Aby zminimalizować ryzyko związane z cyberatakami czy awariami, kopie zapasowe muszą być jednak nie tylko regularnie wykonywane, ale również regularnie sprawdzane.


Zdjęcie pochodzi z serwisu pixelio.de // Autor: Rainer Sturm