Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Służbowa poczta elektroniczna i zagrożenia z nią związane

12-05-2021 Autor: Dominika Nowak

Korzystanie ze służbowej skrzynki elektronicznej niesie za sobą szereg zagrożeń, które pracodawca wraz z osobami odpowiedzialnymi za bezpieczeństwo danych powinni przewidzieć oraz wdrożyć procedury im zapobiegające.

 

Podstawowym narzędziem do prowadzenia kontaktów biznesowych jest poczta elektroniczna. Nie zmienił tego dynamiczny rozwój innych komunikatorów służących do wysyłania wiadomości lub prowadzenia wideokonferencji. Korzystanie ze służbowej poczty elektronicznej do prowadzenia kontaktów biznesowych niesie za sobą ryzyko związane z wystąpieniem naruszeń ochrony danych osobowych. Każdy administrator powinien zarówno podjąć działania zapobiegające naruszeniom, jak i opracować scenariusz na wypadek jego wystąpienia.

 

Czym jest naruszenie ochrony danych?

Zgodnie z art. 4 pkt 12 rodo naruszenie ochrony danych to naruszenie bezpieczeństwa, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. W praktyce naruszeniem ochrony danych osobowych będzie sytuacja, w której doszło do utraty dostępności, naruszenia integralności lub poufności danych osobowych – przypadkowo lub niezgodnie z prawem. Może dochodzić jednocześnie do naruszenia poufności, integralności i dostępności danych.

Warto zwrócić uwagę, że nie każdy incydent bezpieczeństwa będzie prowadził każdorazowo do naruszenia ochrony danych osobowych, ponieważ nie zawsze przedmiotem ataku są dane osobowe. W przypadku wystąpienia incydentu bezpieczeństwa jedną z pierwszych kwestii, którą należy zbadać, jest to, czy przedmiotem naruszenia były dane osobowe w rozumieniu art. 4 pkt 1 rodo.

 

Źródła zagrożeń dla  korzystania ze służbowej poczty elektronicznej

Źródłami zagrożeń dla poczty elektronicznej mogą być osoby trzecie lub pracownicy danej organizacji. Zgodnie z raportem Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA – European Union Network and Information Security Agency) do 15 najczęściej występujących cyber­zagrożeń w okresie od stycznia 2019 r. do kwietnia 2020 r. należały m.in.:

  1. malware – instalacja złośliwego oprogramowania. Jak wskazuje ENISA, 46% malware rozprzestrzenia się przez wiadomości e-mail zawierające załączniki z rozszerzeniem .docx. Odnotowano ponadto 50-procentowy wzrost malware'u mającego na celu kradzież danych osobowych;
  2. phishing – podszycie się przez osobę trzecią pod wiarygodną instytucję w celu wyłudzenia poufnych informacji (np. danych do logowania do konta poczty elektronicznej), zainstalowania szkodliwego oprogramowania lub nakłonienia pracownika do określonych działań (np. przekazania danych osobowych lub informacji objętych tajemnicą przedsiębiorstwa). W większości przypadków tego typu atak odbywa się przez wysłanie wiadomości e-mail wzbudzającej zaufanie adresata, aby nakłonić go do otwarcia złośliwego załącznika lub adresu URL. Co ciekawe, odnotowano 667-procentowy wzrost tego typu wiadomości tylko podczas jednego z miesięcy pandemii COVID-19;
  3. spam – przesyłanie niezamówionych, niepotrzebnych lub niechcianych wiadomości e-mail. Warto zwrócić uwagę, że 13% naruszeń danych osobowych zostało spowodowanych przez spam, a 42% dyrektorów ds. bezpieczeństwa informacji zajmowało się co najmniej jednym incydentem związanym ze spamem;
  4. ransomware – instalacja oprogramowania, które blokuje dostęp do systemu, a następnie żądanie przez osobę trzecią okupu. Szacuje się, że 45% zaatakowanych organizacji zapłaciło okup. Jest to odsetek organizacji zaatakowanych w 2019 r., które zapłaciły okup, a połowa z nich mimo to utraciła swoje dane.

Naruszenia ochrony danych osobowych spowodowane bezpośrednio przez pracowników w trakcie korzystania z poczty elektronicznej mogą polegać na:

  • wysłaniu wiadomości zawierającej dane osobowe (w tym załączników) do osoby innej niż uprawniony adresat;
  • wysłaniu wiadomości przeznaczonej dla wielu adresatów w taki sposób, że dla każdego z adresatów widoczni są pozostali adresaci;
  • pozostawienie w widocznym miejscu danych do logowania do poczty elektronicznej, co może posłużyć osobie nieuprawnionej do uzyskania dostępu do skrzynki poczty e-mailowej pracownika.

Prawdopodobieństwo wystąpienia ryzyk związanych z omówionymi zagrożeniami wynika głównie z faktu, że pracownicy mogą korzystać z poczty elektronicznej nie tylko ze służbowego komputera, lecz również za pomocą urządzeń przenośnych, takich jak smartfon czy tablet, za pomocą dedykowanej aplikacji lub logując się z przeglądarki internetowej, co powoduje utratę czujności pracownika. W związku z tym zalecane jest wprowadzenie zasad korzystania z poczty elektronicznej przez administratora z wykorzystaniem poszczególnych narzędzi.


Duże znaczenie dla wystąpienia potencjalnych naruszeń ochrony danych będzie miał wybór przez administratora odpowiednich środków technicznych i organizacyjnych na etapie przeprowadzenia analizy ryzyka (art. 32 ust. 1 rodo) w związku z wdrażaniem narzędzi do korzystania ze służbowej poczty elektronicznej. Analiza ryzyka powinna być okresowo ponawiana z uwzględnieniem nowych zagrożeń oraz postępu technologii w obszarze zabezpieczeń.

 

[...]

 

Autorka jest radczynią prawną, specjalizuje się w  prawie ochrony danych osobowych, Senior Associate w  kancelarii prawnej Traple Konarski Podrecki i  Wspólnicy.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.