W grudniu 2019 roku Brytyjski organ nadzorczy ukarał firmę farmaceutyczną za nieodpowiednią ochronę danych osobowych szczególnej kategorii.
Firma London Pharmacy otrzymała karę w wysokości 275 tysięcy funtów za przechowywanie dokumentów z danymi osobowymi na tyłach swojej siedziby w niezamkniętych kontenerach.
Zbiór danych liczył około 500 tyś. dokumentów i zawierał takie dane jak: imiona i nazwiska, adresy zamieszkania, daty urodzenia oraz informacje o zdrowiu wraz z przepisanymi receptami.
Czynności kontrolne zostały rozpoczęte w wyniku zawiadomienia złożonego przez brytyjską agencję ds. leków i produktów zdrowotnych.
Jak widać właściwa ochrona danych nie tylko chroni przed ich wyciekiem, ale pozwala uniknąć ewentualnych kontroli zainicjowanych przez świadków łamania zasad bezpieczeństwa przechowywania danych, np. przez kontrolerów innej instytucji, tak jak to miało miejsce w w/w przypadku.
Co więcej właściwa dbałość o bezpieczeństwo fizyczne danych zmniejsza prawdopodobieństwo wystąpienia ataku oraz skuteczność jego przeprowadzenia, np. dane zawarte w wyrzuconych na śmieci (niezniszczonych) dokumentach papierowych, dotyczące korespondencji służbowej z dostawcą usług IT, mogą zostać wykorzystane do przeprowadzenia skutecznego ataku socjotechnicznego – atakujący może wcielić się w przedstawiciela dostawcy usług IT i zmanipulować osobę dla osiągnięcia własnych celów.
Poniżej kilka zasad, których przestrzeganie pozwoli zmniejszyć ryzyko wycieku danych:
Wprowadź zasadę „czystego biurka”
W przypadku dłuższej nieobecności przy stanowisku pracy lub po jej zakończeniu, umieść wszystkie dokumenty i nośniki zawierające dane osobowe w bezpiecznym miejscu, np. zamykanej na klucz szafce. Dzięki temu uniemożliwisz dostęp do danych osobom nieuprawnionym.
Stosuj zasadę „czystego ekranu”
Unikaj korzystania z komputera w miejscach, w których nie ma pewności, że obraz wyświetlany na ekranie nie zostanie podejrzany przez osobę nieupoważnioną lub nie będzie zarejestrowany przez kamery monitoringu.
Pracując nad dokumentami w miejscach publicznych (tj. kawiarnie, pociągi, autobusy, samoloty itp.) zachowaj poufność danych, tak aby osoby nieupoważnione nie miały do nich dostępu (w tym nie mogły ich przeczytać). Odwróć się co jakiś czas, by sprawdzić, czy ktoś nie patrzy w Twój monitor. W miarę możliwości korzystaj z filtrów prywatyzujących.
Zabezpiecz swój komputer
Opuszczając (nawet na chwilę) stanowisko pracy zablokuj lub wyłącz komputer. Zamykaj na klucz pomieszczenie, w którym nikt nie został i nie pozostawiaj w nim osoby nieuprawnionej bez opieki. Intruz może zainstalować do komputera (zwłaszcza stacjonarnego) niewielkie urządzenia szpiegujące, takie jak np. keylogger.
Korzystaj z urządzeń przenośnych świadomie
Zabezpiecz urządzenie przenośne (tj. laptop, telefon, tablet) przed kradzieżą. Nie zostawiaj ich w miejscach publicznych. W hotelach przechowuj je w sejfie, a w samochodach przewoź w bagażniku. Wysiadając ze środków komunikacji publicznej (zwłaszcza taksówek) zwracaj uwagę, czy nie zostawiłeś/aś w nim sprzętu.
W sytuacji, gdy w pamięci urządzenia znajdują się dane osobowe, upewnij się przed wyniesieniem go z pracy, że dysk twardy został zaszyfrowany.