Archiwa kategorii: Bezpieczeństwo w internecie

RODO

Na całym świecie następuje wzrost ilości danych przetwarzanych przez biznes, instytucje państwową, administrację publiczną czy służby publiczne (policja, opieka zdrowia, itp.). Bardzo często zbieranie i przetwarzanie danych jest procesem w pełni zautomatyzowanym i dane będące wynikiem procesu przetwarzania praktycznie dostępne są na kliknięcie przycisku (również w internecie).

Z jednej strony każdy obywatel korzysta z tego trendu na przykład uzyskując dane statystyczne samochodu osobowego, który chce kupić i o którym może się wiele dowiedzieć z internetu (pochodzenie, dane techniczne, przebieg, itp.). Z drugiej strony wiele instytucji państwowych zbiera dane o obywatelach i w przypadku wyjaśniania różnych spraw administracyjnych praktycznie on-line można uzyskać ich status (informacje KRS, dane kierowców wykorzystywanych przez Policję, czy inne narzędzia e-administracji).

Również firmy zbierają różne dane na temat swoich klientów, na przykład za pośrednictwem systemów komputerowych (oprogramowanie CRM, oprogramowanie księgowe, systemy ERP). Zbierając dane na temat klientów, pośrednio tworzymy bazy danych jego pracowników którzy są osobami fizycznymi z którymi firma prowadzi relacje biznesowe. Oczywiście Rozporządzenie RODO dopuszcza możliwość prowadzenia takich czynności, jeśli tylko są niezbędne do prowadzenia działalności biznesowej.
Problematyczne może być kupowanie baz danych potencjalnych klientów na wolnym rynku, szczególnie gdy nie mieliśmy z nimi żadnych relacji biznesowych. W tym przypadku będzie nam ciężko udowodnić, że prowadziliśmy w przeszłości z tym klientem relacje biznesowe (szczególnie istotne jest to gdy klient jest zarazem osobą fizyczną).
Rozporządzenie RODO w centrum uwagi stawia obywatela, który ma prawo do ochrony swoich danych osobowych. Dlatego chcąc być w zgodnie z rozporządzeniem RODO firmy muszą bardzo ostrożnie traktować dane osób fizycznych, a uzyskanie od nich zgody będzie jednym z ważniejszych elementów relacji biznesowych.

Mając na uwadze rozporządzenie RODO warto stworzyć w firmie specjalną funkcję Inspektora Ochrony Danych (przypisać do niego dane kontaktowe, takie jak adres mailowy i telefon, które będą dostępne na naszej stronie internetowej). W tej sytuacji gdy nasz klient będzie miał problem, zawsze będzie miał możliwość skierowania się do Inspektora w różnych nurtujących go sprawach (np. prośba o usunięcie jego danych z naszej bazy danych). Oczywiście Inspektorem Danych Osobowych może być osoba pracująca w firmie na innym stanowisku, a funkcja inspektora będzie wykonywania przez niego dodatkowo.

Jednym z obszarów szczególnie istotnych staje się bezpieczeństwo, w szczególności związane z handlem internetowym. Rejestracja nowych użytkowników i zarazem klientów prowadzona jest on-line i tym samym dane te mogą paść łupem hakerów. Prowadząc handel internetowy firmy będą musiały obchodzić się z danymi swoich klientów szczególnie ostrożnie.
Również firmy oferujące usługi Cloud Computing będą musiały inwestować w bezpieczeństwo, gdyż to na ich serwerach przechowywane są dane ich klientów (również obejmujące dane osobowe).

W przypadku handlu internetowego o ile możemy oszczędzać na różnych obszarach prowadzenia działalności (magazynowanie, księgowość, transport) tak bezpieczeństwo staje się priorytetowym obszarem działalności biznesowej.

Rozporządzenie RODO określa wysokość kar pieniężnych w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa w wysokości 2 % jego całkowitego, rocznego światowego obrotu z poprzedniego roku obrotowego.
Nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust.2. podlega na mocy ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 mln euro, a w przypadku przedsiębiorstwa w wysokości 4 % jego całkowitego, rocznego światowego obrotu z poprzedniego roku obrotowego.

Podstawa prawna:
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Bezpieczeństwo systemów IT

O ile 20 lat temu komputery były przede wszystkim narzędziem pomocnym przy wsparciu pojedynczych funkcji w firmie (np. gospodarka materiałowa), tak dzisiaj systemy informatyczne są w stanie wspierać praktycznie wszystkie procesy i funkcje wewnętrzne w firmie.

Jest wiele korzyści wynikających z zastosowania informatycznych systemów komputerowych które sprawiają, że stale pojawiają się nowe obszary ich rozwoju. Jednocześnie dzisiaj mało który przedsiębiorca jest w stanie wyobrazić sobie prowadzenie działalności biznesowej bez możliwości wykorzystania komunikacji mailowej (jest jednym z potencjalnych zagrożeń zewnętrznych).

Wśród czynników mogących mieć niebezpieczny wpływ na systemy informatyczne w firmie można wymienić:
– Systemy IT w firmie stają się coraz bardziej kompleksowe i obejmują coraz większą liczbę obszarów funkcjonalnych. Większość z elementów tych systemów jest ze sobą zintegrowana i tym samym wymagania odnośnie ich bezpieczeństwa stają się coraz wyższe i jednocześnie coraz bardziej złożone,
Duża dynamika procesów wewnętrznych i zależność od systemów informatycznych w firmie są czynnikami, które nie ułatwiają procesu utrzymania bezpieczeństwa wszystkich elementów organizacji,
Rosnąca otwartość organizacji na zewnątrz, przejawiająca się w wielu obszarach funkcjonowania firmy (np. elektroniczna wymiana danych (EDI) między dwoma systemami informatycznymi dwóch firm, integracja firmy z systemami i platformami sprzedażowymi takimi jak Allegro, Ebay, Amazon, elektroniczne płatności realizowane między firmą i bankiem lub instytucją finansową systemy np. PayPal, PayU),
Wzrost liczby hakerów, spamerów oraz innych użytkowników internetu, którzy stale zadają sobie pytanie „jak mogę wykorzystać systemy informatyczne firm i innych użytkowników internetu do moich własnych celów?”.

Biorąc pod uwagę powyższe kwestie, nie ma się co dziwić, że stale rośnie znaczenie bezpieczeństwa systemów informatycznych.

Hakerzy, oszuści i sabotażyści nieustannie szukają nowych sposobów, aby systemy informatyczne wystawione na zewnątrz wykorzystać do swoich celów. Każdego dnia pojawiają się nowe wirusy, robaki, fałszywe maile oraz programy szpiegowskie (Trojany). W praktyce każdy przedsiębiorca codziennie musi usuwać dziesiątki lub nawet setki maili, które niepożądane docierają do jego skrzynki pocztowej i wiele z nich kryje za sobą różne potencjalne zagrożenia.

Firmy zajmujące się bezpieczeństwem internetu każdego dnia notują tysiące złośliwych ataków na komputery wystawione w sieci internetowej i niestety liczba ta stale rośnie.

Planując koncepcję bezpiecznego systemu informatycznego warto podzielić wszystkie występujące w firmie informacje wg poziomu ich ważności i poufności, w szczególności:
ściśle tajne – dostęp do informacji mogą mieć tylko wybrane osoby, pracownicy kierownictwa/zarządu firmy,
poufne – dostęp do informacji może mieć wybrany krąg osób, pracowników kierownictwa i specjalistów firmy,
wewnętrzne – dostęp do informacji mogą mieć tylko pracownicy firmy,
publiczne – dostęp do informacji może mieć każdy potencjalny jej użytkownik (zarówno będący pracownikiem firmy, jak również potencjalnym klientem, urzędnikiem czy inna osoba zainteresowana firmą i jej produktami).

W temacie bezpieczeństwa informatycznego można również skorzystać z auditu bezpieczeństwa IT, którego celem jest stwierdzenie w których obszarach stan bezpieczeństwa IT w firmie odbiega od stanu pożądanego (gwarantującego bezpieczeństwo systemu IT). Audit bezpieczeństwa IT jest szczególnie polecany w małych firmach, które nie mają rozbudowanych struktur zarządzania IT.

Bezpieczeństwo systemów IT

Akcje mailingowe.

Jeśli posiadamy w naszej bazie danych zapisane adresy mailowe naszych klientów, których znamy lub z którymi prowadzimy współpracę, to oczywiście możemy rozważyć czy to rozsyłanie newslettera (za ich zgoda) lub też prowadzenie akcji mailingowych (rozsyłanie zaproszeń np. do skorzystania z oferty, promocji oferowanych przez nas wyrobów).
Może się również okazać, że zakupiliśmy bazę kontaktów w internecie i wtedy każdorazowe rozsyłanie mailingu wymaga uzyskania zgody od osoby lub firmy do której chcemy skierować nasz list lub ofertę.

Nieprzestrzeganie zasady o konieczności uzyskania zgody na rozsyłanie listów ofertowych może mieć konsekwencje finansowe dla firmy lub osoby prowadzącej taką działalność.
Ponadto w przypadkach posiadania i korzystania z baz danych klientów występuje konieczność rejestracji naszej bazy danych w bazie Generalnego Inspektora Ochrony Danych Osobowych.

Często jeśli otrzymujemy nie chciany mail z ofertą to albo go ignorujemy, albo też przenosimy do kosza. Zdarzają się jednak firmy, które takie niechciane przez nich maile mogą wykorzystać do zaskarżenia nas (przypadki bardzo rzadkie, ale oczywiście możliwe). Dlatego planując akcje mailingowe należy się do nich bardzo dobrze przygotować, lub powierzyć prowadzenie ich specjalistycznym firmom.

Podczas realizacji akcji mailingowych pomocnym mogą być rozwiązania IT, które rozsyłają masowo (nawet kilka tysięcy w ciągu kilu minut) maile pod adresy mailowe znajdujące się w bazie danych. W internecie również można znaleźć dedykowane rozwiązania portalowe ułatwiające taką operację mailingową. Jednakże w każdym przypadku musimy posiadać sprawdzoną bazę danych klientów.

Rozsyłanie maili na własną rękę bez uzyskiwania zgód może bardzo szybko prowadzić do zablokowania naszego adresu mailowego, a rozsyłane w ten sposób maile będą trafiały wprost do skrzynki ze spamem.

Z drugiej strony czasami można spotkać się z ofertami rozsyłanymi w internecie, przez różnego rodzaju firmy widma, jak na przykład Kancelaria Liberty. Poniżej znajduje się email rozsyłany rzekomo przez kancelarię liberty, jednakże w rzeczywistości taki podmiot nie istnieje – email rozsyłany jest z adresu: biuro@kancelarialiberty.warszawa.pl


„… Witamy,

Pragniemy zauważyć, że Państwa firma nie jest jeszcze zarejestrowana w GIODO a jest do tego prawnie zobligowana.

Każda firma wystawiająca FV, wysyłająca FV, wysyłająca towar lub posiadająca na swoich stronach www elementy takie jak: newsletter, formularz kontaktowy, rejestracyjny, logowanie itp bezwzględnie muszą być zarejestrowane w GIODO.

Każda firma posiada też we własnych zbiorach dane pracowników czy też Klientów.

Ustawa z dnia 29 sierpnia 1997 roku. Dane osobowe to według Art. 6 Ustawy o ochronie danych osobowych, ?wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Chodzi o takie elementy, mniej lub bardziej specyficzne, które pozwalają określić pośrednio lub bezpośrednio tożsamość danej osoby np. nazwisko, imię, adres zamieszkania, nr telefonu ? czyli dane, które klient e-sklepu podaje podczas zawierania transakcji. W grupie tej znajdzie się także adres e-mail ? często bowiem jest imienny i oraz adres IP, który może być daną osobową (informacja o tym jest możliwa do uzyskania z innych źródeł) jest zobligowana do spełnienia obowiązku rejestracji w GIODO.

GIODO może nałożyć karę grzywny w postępowaniu administracyjnym dla osób prawnych lub jednostek organizacyjnych jednorazowo w kwocie do 50 tys. zł i może ją nałożyć maksymalnie 4 razy w jednym postępowaniu, co daję nam kwotę 200 tys. zł, w przypadku osób fizycznych jednorazowa kara grzywny może wynieść maksymalnie 10 tys. zł, ale razem nie mogą przekroczyć 50 tys. zł w jednym postępowaniu.

W związku z powyższym nasza Kancelaria Liberty wzywa Państwa do dokonania stosownej rejestracji zbioru danych osobowych wraz z uzupełnieniem niezbędnej i wymagalnej dokumentacji w terminie 3 dni roboczych.

W przypadku braku rejestracji zmuszeni będziemy do złożenia doniesienia/zawiadomienia o wszczęcie procedury kontrolnej GIODO celem wyegzekwowania koniecznej rejestracji oraz wymiaru kary pieniężnej.

Informujemy również, że nasza Kancelaria Liberty nie świadczy usług prawnych, porad, konsultacji itp.

W przypadku pozyskania wiedzy w zakresie rejestracji i dokumentacji rejestracyjnej proponujemy kontaktować się z podmiotami, które świadczą profesjonalne usługi z w/w zakresu.

Przykładowe, losowe wybrane podmioty:
audyt-firmy.waw.pl;
rejestruj.org.pl;
it-kompleks.info.pl;

Z poważaniem

Marcin Nowaczyk
(Kancelaria „Liberty” o/Warszawa)

Realne są natomiast adresy www które taki mail promuje, jak na przykład audyt-firmy.waw.pl czy rejestruj.org.pl.
Dane na temat właścicieli takich domen możemy uzyskać na przykład tutaj:
Dane adresu audyt-firmy.waw.pl
Dane adresu rejestruj.org.pl

Rejestrowanie baz danych klientów ma sens i jest wymagane wtedy, gdy dane klientów chcemy przetwarzać, czyli przykładowo wykorzystywać do celów marketingowych, związanych z prowadzeniem akcji mailingowych lub też będziemy chcieli przetwarzać takie dane w celach badawczych, naukowych lub innych związanych z prowadzeniem naszej działalności.

Mailing

Bezpieczństwo w internecie

Internet staje się codziennością, zarówno w domu jak i w pracy.
Niestety przy tej okazji musimy zwracać uwagę na zagrożenia, które pojawiają się przy okazji czy to klikania na nieznany nam link, otwieranie podejrzanej strony internetowej, czy ściąganie z internetu plików, filmów oraz darmowego oprogramowania z nieznanych nam stron internetowych.

Wśród najpoważniejszych niebezpieczeństw jakie czyhają na nas w internecie można wymienić:
-> Malware
-> Wirusy
-> Wymuszone pobieranie danych
-> Złośliwe pobieranie danych
-> Robaki internetowe
-> Podejrzane aplikacje
-> Podejrzane zmiany przeglądarki
-> Ryzyko bezpieczeństwa
-> Wirusy heurystyczne
-> Adware
-> Trojany
-> Ataki typu „Phishing”
-> Oprogramowanie szpiegujące
-> Backdoors (złośliwe przejęcie komputera)
-> Oprogramowanie zdalnego dostępu
-> Złodzieje informacji
-> Dialery (złośliwe skrypty)
-> Pobieracze danych
-> Wbudowany link do złośliwych stron

Nieuwaga lub brak ostrożności może skończyć się utratą środków finansowych na naszym koncie bankowym, możemy utracić cenne dla nas dane, bądź też nasz komputer może stać się jednym z ogniw sieci hakerskiej (botnet).

Oczywiście jednym z ważniejszych narzędzi w które powinniśmy się wyposażyć są programy antywirusowe ostrzegające nas o potencjalnym niebezpieczeństwie występującym w internecie.

Uzupełnieniem programów antywirusowych może być sprawdzenie podejrzanego linku lub adresu internetowego przy pomocy specjalistycznych stron internetowych służących do testowania bezpieczeństwa w sieci. Ważne przy tym jest korzystanie ze sprawdzonych i pewnych narzędzi.

Polecamy darmowe narzędzie służące między innymi do oceny bezpieczeństwa stron internetowych – wycena stron internetowych.