Małe przedsiębiorstwa nieprzygotowane na naruszenie danych

przez Anne Rosivach

Zdarzenia związane z naruszeniem danych stanowią coraz większy problem w zakresie zarządzania ryzykiem dla małych firm, ponieważ gromadzą one coraz większą ilość informacji o klientach, pracownikach i właścicielach. Większość małych firm zdaje sobie sprawę z istnienia zagrożeń, ale tylko niewielki odsetek firm zatrudniających mniej niż 250 pracowników posiada politykę i procedury ochrony przed włamaniami do Internetu, jak wynika z badania przeprowadzonego we wrześniu 2012 r. przez National Cybersecurity Alliance/Symantec.

Badanie wykazało, że:

  • Siedemdziesiąt trzy procent małych i średnich przedsiębiorstw twierdzi, że bezpieczny i godny zaufania Internet ma kluczowe znaczenie dla ich sukcesu, a 46 procent z nich twierdzi, że jest bardzo ważny.
  • Siedemdziesiąt siedem procent małych i średnich przedsiębiorstw uważa, że posiadanie silnej pozycji w zakresie bezpieczeństwa cyberprzestrzeni i bezpieczeństwa online jest dobre dla ich marki firmy.

Jednak pomimo uzależnienia od Internetu i wagi, jaką przywiązują do bezpieczeństwa w sieci, 87 procent nie posiada żadnych polityk i procedur internetowych, a 75 procent nie posiada polityk dotyczących korzystania z mediów społecznościowych przez pracowników w pracy.

“Nikt nie może zapobiec kradzieży ID”, powiedział Mark Pribish, wiceprezes i lider praktyki kradzieży ID w Merchants Information Solutions, w niedawnej rozmowie z AccountingWEB. “To jest niezwykle lukratywne. Małe firmy mają wiele relacji z wieloma klientami i dostawcami, a relacje te stale się zmieniają. Edukacja jest narzędziem numer jeden w zakresie ochrony danych.”

Merchants ID Theft Advisory Board, w skład którego wchodzą Avnet, KPMG, FBI, Cox, BBB oraz Merchants Information Solutions i który wspiera edukację małych przedsiębiorstw, opublikował A Small Business ID Theft and Fraud Best Practices eBook . Darmowy eBook, który można pobrać w całości lub według tematów, prezentuje najlepsze praktyki w tym zakresie:

  • Przesiewanie w tle
  • Zarządzanie ryzykiem naruszenia danych
  • Zarządzanie informacjami
  • Technologia informacyjna i bezpieczeństwo
  • Prawo ochrony prywatności i bezpieczeństwa
  • Ryzyko związane z mediami społecznościowymi

“W przypadku naruszenia, małe przedsiębiorstwa nie mają takiej samej ochrony jak konsumenci”, powiedział Pribish. “Podczas gdy aktywa klientów posiadających osobiste konta bankowe są chronione na mocy prawa federalnego, komercyjne konta bankowe nie są. W sprawach sądowych na małych przedsiębiorstwach spoczywa ciężar udowodnienia, że bank lub inna instytucja finansowa jest odpowiedzialna na mocy Jednolitego Kodeksu Handlowego (UCC)”. Pribish odniósł się do niedawnej sprawy, w której People’s United Bank zgodził się zwrócić firmie budowlanej 345,000 dolarów, które zostały utracone przez hakerów, ale dopiero po tym, jak sąd orzekł, że system bezpieczeństwa i praktyki banku były nieodpowiednie w ramach UCC.

Pribish zalecił trzy kroki, które małe przedsiębiorstwa i ich doradcy CPA powinni podjąć, aby przygotować się na naruszenie:

  1. Należy zapoznać się z ustawą o przenoszeniu i odpowiedzialności za informacje zdrowotne (HIPAA), zasadą czerwonych flag Federalnej Komisji Handlu oraz przepisami o odpowiedzialności za wielokrotne naruszenia danych, które zostały wprowadzone w czterdziestu sześciu stanach.
  2. Wprowadzenie programu zarządzania ryzykiem w przedsiębiorstwie (ERM), który obejmuje bezpieczeństwo informacji i zarządzanie nimi. “Istnieje tendencja do delegowania bezpieczeństwa informacji na informatyka, ale to ostatnia rzecz, jaką należy zrobić”, powiedział Pribish.
  3. Ustalenie polityki przechowywania i niszczenia dokumentów klienta.

Zgodnie z eBookiem, podczas gdy każda mała firma jest unikalna dla swojej grupy branżowej lub sektora biznesowego, podstawa planu reagowania na incydenty związane z naruszeniem danych w małych firmach powinna zawierać następujące elementy:

  • Źródło naruszenia – należy określić źródło i upewnić się, że dane są odizolowane i dostęp do nich jest zamknięty. Jeśli nie można ustalić źródła naruszenia, należy zaangażować firmę prowadzącą śledztwo sądowe.
  • Ocena naruszenia – określenie zakresu zdarzenia naruszenia danych oraz wymogów regulacyjnych dotyczących prywatności i bezpieczeństwa danych związanych z rodzajem zapisu, oprócz stanu miejsca zamieszkania.
  • Plan reagowania – obejmuje wewnętrzną edukację pracowników i punkty informacyjne; komunikaty prasowe z zakresu public relations, edukację klientów i zasoby; rozwiązania dla małych przedsiębiorstw lub konsumentów, które należy rozważyć; oraz treść i terminowe przekazywanie pism powiadamiających.
  • Plan ochrony – obejmuje usługi ochrony małych firm lub konsumentów, które mają być zaoferowane zagrożonej grupie rekordów oraz potwierdzenie profesjonalnych usług call center i wsparcia rzeczników odzyskiwania danych.
  • Plan rozwiązywania problemów dotyczących ofiar naruszeń – zapewnienie dostępu do profesjonalnych, certyfikowanych adwokatów zajmujących się odzyskiwaniem tożsamości, którzy będą pracować w imieniu ofiar, aby złagodzić i rozwiązać problemy spowodowane naruszeniem.

Właściwe powiadomienie, zaplanowanie i profesjonalne wykonanie planu pomoże złagodzić ewentualne grzywny, kary, pozwy zbiorowe, uszkodzenia marki i utratę przychodów.

O Radzie Doradczej ds. Kradzieży Identyfikatorów Handlowców:

Merchants’ Identity Theft Advisory Board, który jest wspierany przez 100-letnie Merchants Information Solutions, został założony w 2009 r. w ramach inicjatywy środowiskowej mającej na celu wspieranie edukacji i świadomości w zakresie kradzieży tożsamości małych firm oraz oszustw, kradzieży tożsamości dzieci oraz bezpieczeństwa i ochrony w Internecie.

Artykuły pokrewne:

  • Miliardy w ID Oszustwa podatkowe związane z kradzieżą nie zostały wykryte
  • Nowa dyrektywa w sprawie zwalczania kradzieży tożsamości Oszustwa
  • Raport TIGTA: Dane podatnika IRS są wrażliwe na hakerów