W mikro, małych i średnich przedsiębiorstwach pracuje obecnie 7,3 mln osób, dlatego GM Research na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów przeprowadziło badanie, z którego wynika, że 35 proc. firm z sektora MŚP obawia się kradzieży danych osobowych swoich pracowników. A jakie są główne powody tych obaw? Świadomość częstych ataków cyberprzestępców, dla których przedsiębiorstwa są atrakcyjnym celem oraz przetwarzanie dużej ilości danych.
Ankietowani przedsiębiorcy jako główne przyczyny obawy o kradzież danych osobowych pracowników wymieniają:
- częste skuteczne ataki cyberprzestępców na firmy (59 proc.),
- przetwarzanie dużej ilości danych (29 proc.),
- bycie atrakcyjnym celem dla złodziei danych osobowych (26 proc.).
Ciekawe jest jednak porównanie tych odpowiedzi z argumentami wskazywanymi przez liczniejszą grupę przedsiębiorców (65 proc.), która się takich ataków nie obawia. Na pierwszym miejscu wymieniają dobrze zabezpieczone komputery (50 proc.), ale na drugim to, że nie przetwarzają dużej ilości danych osobowych (39 proc.) oraz że nie są atrakcyjnym celem dla cyberprzestępców (35 proc.).
Mamy paradoksalną sytuację, że te same argumenty dla jednych przedsiębiorców są powodem do obaw o bezpieczeństwo przechowywanych danych, a dla drugich powodem do spania spokojnie. To złudne poczucie bezpieczeństwa jest największym zagrożeniem, bo prowadzi do jego lekceważenia, a tym samym braku aktywności w dbaniu o ochronę zgromadzonych danych – komentuje Kamil Sztandera, ekspert serwisu ChronPESEL.pl.
Zauważa też, że cyberprzestępcy kierują swoją uwagę tam, gdzie mogą łatwo przejąć dane, a firmy z sektora MŚP wcale nie mają tak skutecznych zabezpieczeń, jak im się wydaje.
Tymczasem, jak wynika zdanych Głównego Urzędu Statystycznego, firmy z sektora MŚP zatrudniają 7,3miliona pracowników, co dla cyberprzestępców oznacza 7,3 mln potencjalnych ofiar ataków.
Każdy administrator danych, bez względu na to, czy jest to duży podmiot gospodarczy, czy mały i bez względu na to, jaki ma profil działalności, może być celem cyberprzestępców – ocenia wyniki badania Konrad Komornicki, zastępca prezesa Urzędu Ochrony Danych Osobowych.
I dodaje, że przekonanie o swojej niskiej atrakcyjności dla hakerów już samo w sobie jest niebezpieczne i może powodować zlekceważenie swoich zadań w podejściu do zastosowanych zabezpieczeń technicznych, jak i organizacyjnych. Tymczasem każdy administrator przetwarza dane osobowe swoich pracowników, klientów, kontrahentów, które są bardzo cenne dla przestępców.
Te dane są najczęściej przetwarzane
Atrakcyjność danych osobowych zgromadzonych w mikro, małych i średnich firmach dla hakerów wynika też z tego, że zdecydowana większość z nich, bo aż 83 proc, przechowuje je w wersji cyfrowej. Z czego połowa robi to wyłącznie w formie elektronicznej, a 33 proc. zarówno w papierowej, jak i cyfrowej. Chociaż tradycyjna dokumentacja coraz częściej odchodzi do lamusa, to nadal 12 proc. firm gromadzi w ten sposób wrażliwe informacje o zatrudnionych.
Zwykle MŚP przetwarzają około 6-7 istotnych informacji o pracownikach, a są to najczęściej:
- imię i nazwisko (86 proc.),
- numer telefonu (80 proc.),
- adres zamieszkania i numer PESEL (po 75 proc.),
- adres e-mail (70 proc.),
- numer rachunku bankowego (68 proc.),
- numer dowodu osobistego (62 proc.),
- dane zdrowotne o absencjach lub przebytych chorobach (43 proc.).
Wielkość firmy ma decydujący wpływ na miejsce przechowywania danych osobowych pracowników. 38 proc. mikro przedsiębiorców gromadzi informacje o zatrudnionych w komputerze właściciela. Natomiast średnie przedsiębiorstwa ze względu na bardziej rozbudowaną strukturę, w komputerze księgowej (44 proc.). Jednak coraz częściej wykorzystują również bardziej zaawansowane rozwiązania jak wirtualna chmura (32 proc.), czy zewnętrzny serwer (29 proc.).
Więcej wiadomości na temat danych osobowych można przeczytac poniżej:
Przedsiębiorcy słabo zabezpieczają dane
Paradoksalnie, aż 90 proc. MŚP twierdzi, że prawidłowo chroni dane osobowe pracowników, a 54 proc. jest o tym silnie przekonana. Najbardziej pewne siebie są małe (55 proc.) i mikro firmy (54 proc.), a najmniej średnie przedsiębiorstwa (47 proc.).
Respondenci stosują też zróżnicowane metody zabezpieczeń:
- 51 proc. MŚP pozostawia dostęp do ważnych dokumentów jedynie upoważnionym osobom,
- 40 proc. przedsiębiorców zabezpiecza pliki i foldery hasłami,
- 36 proc. zamontowało w siedzibie alarm lub drzwi antywłamaniowe,
- 35 proc. posiada aktualne wersje programów antywirusowych.
Mniej popularnymi metodami są:
- przechowywanie papierowych dokumentów w sejfach lub skrytkach i monitoring firmowych komputerów (po 28 proc.),
- stosowanie zdalnej blokady w razie zgubienia dysku zewnętrznego (26 proc.),
- obowiązek regularnej zmiany hasła przez pracowników (21 proc.),
- domyślną blokadę portu USB (19 proc.).
Zaledwie 35 proc. mikro przedsiębiorców ma zainstalowane na firmowych komputerach pełne wersje programów antywirusowych. Znacznie lepiej pod tym względem wypadają średnie firmy, w których odsetek wynosi 56 proc. Jednak nawet ten wynik nie napawa optymizmem – tłumaczy Kamil Sztandera.
Sztandera uważa, że świadczy o tym, że niemal 2/3 (65 proc.) najmniejszych, a także ponad 2/5 (44 proc.) największych podmiotów z sektora MŚP nie przestrzega podstawowej zasady cyberbezpieczeństwa, jaką jest regularna aktualizacja oprogramowania. W związku z tym dane osobowe ich pracowników mogą być łatwym łupem dla hakerów.
Badanie zostało przeprowadzone przez TGM Research na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych (UODO) w maju 2024 r. techniką wywiadów internetowych (CAWI) na próbie 400 przedstawicieli firm MMŚP spełniających kryterium decyzyjności oraz przetwarzających dane osobowe.