W organizacjach działających w Polsce bezpieczeństwo danych zwykle naruszają pracownicy i współpracownicy (71%). Za 20% przypadków odpowiadają przetwarzający informacje na zlecenie ich administratora. Tylko w 9% za incydentami stoją osoby z zewnątrz, np. byli pracownicy lub cyberprzestępcy. Większość to sytuacje nieumyślne (89%), wśród których są m.in. zagrożenia spowodowane błędnym adresowaniem maili. Do celowych działań (11%) należą kradzieże nośników danych i phishing.
Najczęściej wycieki dotyczą tzw. danych osobowych zwykłych
W 89% przypadków powodem naruszenia bezpieczeństwa danych jest działanie ludzi, wadliwe technologie odpowiadają za 11% zdarzeń (o znanym, najsłabszym ogniwie w cyberbezpieczeństwie opowiadał w opublikowanym przez nas use case Jakub Jagielak z Atende). Z szacunków Związku Firm Ochrony Danych Osobowych wynika, że imiona i nazwiska użytkowników najczęściej są narażone na wyciek (44%), za tą kategorią plasują się adresy poczty elektronicznej (20%) i dane finansowe (17%).
– Szczęśliwie dla ankietowanych, większość naruszeń dotyczy danych osobowych zwykłych, jak imię, nazwisko czy adres e-mail, do których Urząd Ochrony Danych Osobowych nie przykłada aż tak dużej wagi. Podejście nadzoru jest bardziej surowe, gdy dochodzi do wycieku np. numerów PESEL – zauważa Paweł Latkowski z firmy Partner Discretia.
127 naruszeń w ciągu roku
Związek Firm Ochrony Danych Osobowych to polskie zrzeszenie przedsiębiorców, którzy zajmują się bezpieczeństwem informacji. Organizacja powstała w czerwcu 2018 roku, żeby promować wysokie standardy usług w tej dziedzinie, a także wpływać na rozwój rynku i kształt prawa. Raport „Incydenty Ochrony Danych Osobowych” przygotowano na podstawie informacji z 277 organizacji publicznych i prywatnych, które są obsługiwane przez firmy wchodzące w skład ZFODO. Zebrane odpowiedzi dotyczą pierwszych 12 miesięcy po wejściu w życie unijnego Rozporządzenia o Ochronie Danych Osobowych, czyli okresu od maja 2018 do maja 2019 roku. W tym czasie w Polsce odnotowano 127 oficjalnych incydentów. W ocenie Związku Firm Ochrony Danych Osobowych rzeczywista liczba jest większa, bo firmy nie zgłaszają wszystkich naruszeń bezpieczeństwa. Od momentu, kiedy działa RODO, 5 firm z naszego kraju zostało ukaranych za niewłaściwą ochronę danych, najnowsza taka decyzja UODO zapadła w październiku 2019 roku.
