Dlaczego wycieki danych z dokumentów to dziś jedno z największych ryzyk operacyjnych firmy?
Część incydentów bezpieczeństwa nie wynika ze skomplikowanych i dobrze zaplanowanych ataków hakerskich, lecz ze zwykłych ludzkich błędów, pośpiechu oraz niewiedzy. Wystarczy ułamek sekundy i błędnie zaadresowany e-mail, by poufna umowa o strategicznym znaczeniu wypłynęła z firmy. Równie powszechnym problemem jest publikacja oficjalnej dokumentacji przetargowej z niedbale ukrytymi informacjami finansowymi, czy też omyłkowe udostępnienie pełnych akt pracowniczych nieodpowiedniemu działowi wewnątrz firmy. Ostatnio kolejnym zagrożeniem jest korzystanie z darmowych czy nieautoryzowanych wewnątrz firm narzędzi AI do analizy dokumentacji, co może również skutkować wyciekiem danych. Takie sytuacje zdarzają się każdego dnia, chociaż nie zawsze się o nich słyszy.
Ogromnym zagrożeniem pozostaje także po prostu nieświadomość pracowników na niższych szczeblach. Przesyłając pliki dalej, niezwykle rzadko zdają sobie oni sprawę z tego, że oprócz widocznego tekstu przekazują zewnętrznym odbiorcom również tak zwane metadane, które mogą stanowić cenne źródło informacji dla cyberprzestępców.
Jednak konsekwencje są poważne. Firma naraża się na trudną do odbudowania utratę zaufania klientów, co nierzadko prowadzi do zerwania kontraktów. Do tego dochodzą koszty narzuconych z zewnątrz audytów bezpieczeństwa oraz nieuniknione przestoje w pracy całych zespołów operacyjnych.
Jakie kary za naruszenie RODO grożą firmie?
Ujawnienie wrażliwych informacji pociąga za sobą nie tylko zmianę nastawienia przez partnerów biznesowych, ale przede reakcję ze strony organów nadzorczych. Przepisy Ogólnego Rozporządzenia o Ochronie Danych przewidują w takich sytuacjach bardzo wysokie sankcje finansowe. Warto przypomnieć, że maksymalne progi kar mogą sięgać nawet 20 milionów euro lub stanowić równowartość do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku, przy czym urząd zawsze wybiera kwotę wyższą.
Dla organów takich jak polski Urząd Ochrony Danych Osobowych wyciek nieodpowiednio zabezpieczonego pliku PDF, zawierającego dane klientów lub pracowników, też nie jest drobnym uchybieniem. To jednoznaczne i poważne naruszenie przepisów o ochronie danych osobowych, które bezwzględnie wymusza na firmie oficjalne zgłoszenie takiego incydentu w ściśle wyznaczonym czasie. Na sankcjach stricte administracyjnych jednak problem wcale się nie kończy. Chwilę później pojawia się widmo wieloletnich i wyczerpujących finansowo roszczeń cywilnych, bowiem osoby, których prywatność ucierpiała w wyniku firmowych zaniedbań, mają pełne prawo domagać się przed sądem wysokich odszkodowań za doznane krzywdy moralne i materialne.
Dlaczego „zaczernianie markerem" w PDF to pułapka, a nie skuteczna anonimizacja?
Wielu pracowników biurowych, próbując naprędce ukryć poufne fragmenty umów czy raportów, sięga po rozwiązania tyleż intuicyjne, co nieodpowiednie. Należy do nich nakładanie czarnych prostokątów na tekst w darmowych czytnikach PDF lub jeszcze na etapie edytora tekstu, takiego jak Word, tuż przed eksportem dokumentu. Z technicznego punktu widzenia jest to pułapka. Tego rodzaju działanie maskuje wrażliwą treść wyłącznie wizualnie, tworząc coś na kształt wirtualnej naklejki.
Złudne poczucie dobrze wykonanego zadania rozwiewa się w konfrontacji z rzeczywistością. Każdy średnio zorientowany w podstawach technologii odbiorca może w kilka sekund zaznaczyć ukryty pod czarnym polem tekst, użyć popularnego skrótu klawiszowego Ctrl+C i wkleić go w najzwyklejszym notatniku. Co gorsza, w wielu programach nałożoną figurę graficzną można po prostu przesunąć lub całkowicie wykasować, odsłaniając pierwotną treść. Prawdziwa anonimizacja to zupełnie inny proces technologiczny. Musi ona fizycznie i bezpowrotnie niszczyć oraz usuwać wybrane informacje prosto z warstwy tekstowej dokumentu, nie pozostawiając absolutnie żadnej furtki do odzyskania pierwotnego zapisu.
Które dane w pliku PDF trzeba bezwzględnie anonimizować?
W pierwszej kolejności należy trwale zakryć wszelkie dane osobowe, które pozwalają na bezpośrednią lub nawet pośrednią identyfikację konkretnego człowieka. Zaliczyć należy do nich numery PESEL, serie i numery dowodów osobistych, pełne imiona oraz nazwiska, a także szczegółowe prywatne adresy i numery telefonów kontaktowych. Równie ważną kategorię stanowią informacje finansowe. Należy bardzo uważać na dokładne numery kont bankowych czy dane kart kredytowych klientów.
Z perspektywy samego przedsiębiorstwa niezwykle istotna pozostaje skuteczna ochrona wewnętrznego know-how i wypracowanych tajemnic handlowych. Wszelkie precyzyjne wyliczenia marż, zrabatowane kwoty na fakturach, nazwy kluczowych kontrahentów czy chociażby robocze kody wewnętrznych projektów strategicznych zawsze powinny znikać z pliku, zanim opuści on chronioną sieć firmy. Nie wolno także ignorować niewidocznego, choć ważnego elementu, jakim są metadane pliku. Te z pozoru nieistotne logi ukryte głęboko w strukturze dokumentu bardzo często potrafią zdradzić, kto konkretnie i kiedy stworzył dany plik, w jakim programie go edytowano, a nawet jak wyglądała ścieżka zapisu na głównym, firmowym serwerze.
Czym anonimizacja różni się od szyfrowania i kiedy warto stosować obie metody razem?
Anonimizacja w swoim założeniu proces bezpowrotnego wycięcia, zniszczenia wybranych fragmentów danych z pliku. Tak spreparowany dokument można bez obaw wysłać każdemu lub powiesić publicznie na stronie internetowej, ponieważ nie zawiera już niczego wrażliwego. Z kolei klasyczne szyfrowanie w ogóle nie usuwa i nie zmienia danych. Ono zamyka cały, oryginalny plik niczym w sejfie, chroniąc go mocnym hasłem kryptograficznym, dzięki czemu zawartość przeczyta wyłącznie zaufany odbiorca posiadający odpowiedni klucz.
Najlepsze rezultaty osiąga się dzięki synergii, łącząc jednocześnie zalety obu tych mechanizmów. Dobrym i stosowanym przykładem jest operacja wysłania na zewnątrz zanonimizowanego wariantu kontraktu biznesowego, z którego uprzednio trwale wymazano wszystkie konkretne kwoty ryczałtowe oraz nazwiska kluczowych decydentów. Plik ten dodatkowo się szyfruje trudnym do złamania hasłem. Dzięki takiemu rozwiązaniu wgląd w okrojoną i pozbawioną detali treść będą mieli ostatecznie tylko i wyłącznie ściśle uprawnieni pracownicy w docelowym dziale partnera. Taka metoda zapewnia podwójną warstwę ochrony przed różnymi wektorami zagrożeń.
Ile kosztuje narzędzie do anonimizacji PDF, a ile jedna kara RODO?
Zarządy spółek nierzadko analizują inwestycje w nowe oprogramowanie użytkowe wyłącznie przez pryzmat aktualnego budżetu, zapominając o szerszym kontekście, jakim jest zaawansowane zarządzanie ryzykiem. Zestawienie przewidywalnego, jasno określonego i stosunkowo niskiego wydatku na zakup oficjalnej licencji profesjonalnego oprogramowania jak np. ABBYY FineReader PDF daje skłaniający do refleksji obraz sytuacji.
Na drugiej szali leżą całkowicie nieprzewidywalne, idące w miliony złotych koszty potężnych kar nakładanych przez europejskie i krajowe urzędy. Trzeba doliczyć do tego także odszkodowania czy wydatki na obsługę prawniczą, wynajętą tuż po wycieku. Wyprowadzony z tych przesłanek wniosek narzuca się sam – koszt licencji to ułamek kwoty, jaka będzie do zapłacenia w przypadku wycieku.
Czy darmowe, internetowe narzędzia do anonimizacji są bezpieczne?
Wpisywanie w wyszukiwarkę haseł o bezpłatnej edycji plików stanowi niezwykle popularną rutynę w wielu biurach. Z perspektywy bezpieczeństwa jest to prosta droga do wielu problemów. Wgrywanie umów, bilansów spółek czy akt kadrowych pracowników na zewnętrzne, darmowe serwery chmurowe anonimowych dostawców wiąże się z wielkim ryzykiem. Korporacja traci w takim momencie kontrolę nad tym, co tak naprawdę dzieje się z plikiem i przez kogo jest on w tle kopiowany. Tak samo złym pomysłem jest wgrywanie takich plików do darmowych i niezweryfikowanych wewnątrzfirmowo narzędzi AI, by dane usunąć czy zamazać.
Wykorzystywanie chmury niewiadomego pochodzenia czy darmowych AI generuje realne niebezpieczeństwo cichego przechwycenia poufnych danych handlowych, a ponadto jest ewidentnym złamaniem większości procedur i polityk bezpieczeństwa.
W zderzeniu z tak lekkomyślną praktyką widać przewagę zaawansowanego oprogramowania instalowanego bezpośrednio i lokalnie na służbowym komputerze. Mając do dyspozycji taki system, wrażliwe i opatrzone klauzulami tajności dokumenty PDF w ogóle nie opuszczają zamkniętej i chronionej infrastruktury wewnętrznej firmy.
Dlaczego warto sięgnąć po ABBYY FineReader PDF?
Wybór sprawdzonego technologicznie rozwiązania warunkuje skuteczność oraz tempo pracy nad bezpieczeństwem dokumentacji elektronicznej. Zaawansowane funkcje flagowego narzędzia ABBYY FineReader PDF pozwalają na pewne, trwałe oraz całkowicie nieodwracalne usunięcie interesującego nas tekstu. Odbywa się to z pełną precyzją, nie tylko poprzez czyszczenie głębokiej warstwy tekstowej wygenerowanego cyfrowo PDF-a. Oprogramowanie to doskonale radzi sobie również z usuwaniem kwot z tak zwanego tła graficznego, a nawet z płaskiego obrazu i starszego skanu, a to wszystko dzięki zastosowaniu silnika OCR rozwijanego od lat. To jednak nie jedyne możliwości, jakie daje to narzędzie, ponieważ wspiera również zarzadzanie dokumentami czy ich edycję, także plików PDF.
Ochrona zanim nastąpi wyciek
Odpowiednie i profesjonalne przygotowanie jakichkolwiek plików PDF, tuż przed ich przesłaniem drogą elektroniczną lub udostępnieniem osobom trzecim, to podstawa bezpieczeństwa technologicznego i ochrona danych biznesowych. Należy jasno zaznaczyć, że jest to również wymóg stricte prawny narzucany przez dyrektywy unijne oraz przez krajowych ustawodawców. Trzeba mieć pełną świadomość skali i wagi podejmowanego ryzyka. Z tego względu należy edukować pracowników oraz wdrażać odpowiednie rozwiązania, by minimalizować ryzyko wycieku danych.
