Dziale HR, czy jesteś gotowy na atak hakerski?

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

W przeszłości koszmarem działu kadr mogło być manko w kasie z wynagrodzeniami do wypłaty albo zaginione akta osobowe. Dzisiaj, czarnych scenariuszy, na które powinien być przygotowany każdy dział HR jest zdecydowanie więcej i niektóre z nich mają bezpośredni związek z ochroną danych osobowych. Jednym z nich jest atak hakerski na serwery, na których zainstalowane są programy kadrowe.

Wejście w życie RODO zmobilizowało wielu pracodawców do inwestycji w systemy zabezpieczeń i rozwiązania IT, których zadaniem jest zapewnić właściwy poziom ochrony danych osobowych. O ile w świadomości administratorów dość mocno utrwalona jest konieczność zapewnienia środków ochrony, o tyle zdecydowanie rzadziej są oni gotowi na sytuację, w której środki ochrony okazały się niewystarczające i faktycznie doszło do naruszenia bezpieczeństwa danych osobowych.

Dane za okup

Realnym ryzykiem, praktycznie niezależnie od skali, czy rodzaju działalności, stają się ataki typu ransomware. Złośliwe oprogramowanie szyfruje dane zapisane na serwerach i uniemożliwia do nich dostęp, wymuszając zapłatę okupu za ich ponowne udostępnienie. W skrajnym przypadku przywrócenie danych bez klucza, który umożliwiłby odczyt danych może okazać się zupełnie niemożliwe.

Z perspektywy działu HR brak dostępu do programu kadrowego przez kilka dni może mieć daleko idące skutki. Przykładowo, nie działa program do potwierdzenia obecności pracowników, nie można rejestrować czasu pracy, nie można wystawiać świadectw pracy i zaświadczeń o zatrudnieniu, nie ma jak naliczyć, a czasem nawet, jak wypłacić wynagrodzenia, nie można zmieniać ani aktualizować danych. Oparcie zarządzania zasobami ludzkimi na rozwiązaniach informatycznych ułatwia i przyspiesza wiele procesów, ale w razie ataku może skutkować całkowitym paraliżem większości, czy nawet wszystkich zadań działu HR. Dodatkowo, w grę wchodzi zupełnie uzasadniony niepokój, czy strach pracowników związany z możliwym naruszeniem poufności ich danych.

Jak się zabezpieczyć przed atakiem hakerskim?

Ryzyka ataku hakerskiego nie można całkowicie wyeliminować, ale można przygotować się na takie zdarzenie i przynajmniej częściowo uniknąć negatywnych skutków.

Przede wszystkim, trzeba zinwentaryzować rodzaje danych osobowych przechowywanych na serwerach. Zgłoszenie naruszenia danych osobowych do UODO wymaga wskazania kategorii danych objętych naruszeniem. Wcześniejsza inwentaryzacja pozwoli uniknąć nerwowego zastanawiania się, jakie dane osobowe tak naprawdę są objęte atakiem. Trzeba też wiedzieć, czyje dane osobowe są przechowywane na zaatakowanym serwerze – czy tylko aktualnych, czy też byłych pracowników, czy zleceniobiorców lub pracowników tymczasowych. Może się okazać, że wszystkie te osoby trzeba będzie zawiadomić o naruszeniu i jego potencjalnych skutkach. Inwestycja w bezpieczne i często wykonywane kopie zapasowe, przechowywane oddzielnie od głównych serwerów, to dzisiaj konieczność. Od tego, jak szybko zostaną uruchomione kopie zapasowe i jak są aktualne, może zależeć przywrócenie sprawności działania firmy. Poza tym, niezależnie od tego, czy został wyznaczony w zakładzie inspektor ochrony danych osobowych czy nie, warto wcześniej rozdzielić zadania pomiędzy członków zespołu HR. Na zgłoszenie incydentu do UODO są tylko 72 godziny, więc szkoda tracić ten czas na ustalanie kto i za co jest odpowiedzialny. Dobrze skonstruowana procedura wskaże, kto przygotowuje zgłoszenie do UODO, kto szykuje zawiadomienia o naruszeniu, kto pozostaje w komunikacji z pracownikami, kto współpracuje z inspektorem ochrony danych osobowych i działem IT.

Przygotowując instrukcję na wypadek naruszenia bezpieczeństwa danych osobowych warto pamiętać, że jej celem jest nie tylko ustalenie przyczyn naruszenia i powiadomienie UODO, ale też minimalizacja skutków naruszenia. W tym zakresie przywrócenie sprawności i ciągłości działania powinno być jednym z priorytetów.

Karolina Kołakowska, adwokat w Kancelarii Brzezińska Narolski Adwokaci, ekspert z zakresu indywidualnego i zbiorowego prawa pracy oraz ochrony danych osobowych, trener i szkoleniowiec.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

AI w księgowości i podatkach. Błędna odpowiedź może słono kosztować

Już 23% firm w Polsce deklaruje wykorzystanie AI w...

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

Dobry program do faktur można wykorzystać do rachunkowości zarządczej

Program do faktur a rachunkowość zarządcza w firmie MD:...

Prawie 40 proc. umów leasingu zawieranych jest już online

Prawie 4 na 10 nowych umów leasingu w Polsce...

UODO chce szybszego usuwania deepfake’ów i danych wykradzionych w cyberatakach

Prezes Urzędu Ochrony Danych Osobowych pozytywnie ocenia uwzględnienie przez...

Baker McKenzie: Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze...

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Od ochrony systemów do zarządzania ryzykiem. Tak ewoluuje rola CISO

Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w...
Coś dla Ciebie