Subskrybuj nas na Youtube
Zapisz się na newsletter
Czynnik ludzki
Incydent RODO wynikać może z wielu przyczyn. Najczęstszy jest czynnik ludzki-pośpiech, lenistwo, nieuwaga pracownika, a także kwestie natury obiektywnej. Są nimi brak możliwości faktycznego zapoznania się z systemem w których się pracuje, jego instrukcjami bezpieczeństwa (np. z uwagi na obciążenie innymi zadaniami), a w szczególności brak możliwości przećwiczenie procedur ochrony przed cyberincydentem czy zachowania się gdy ma miejsce.
Druga grupa zdarzeń które mogą wywołać incydent RODO dotyczy bardziej pracowników zajmujących się systemami informatycznymi. Jest to wadliwa konfiguracja systemu czy nieaktualizowanie oprogramowania np. poprzez wieloletni brak wsparcia systemu.
![Co może napisać pracownik w mediach społecznościowych [RODO a pracownik]](data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw%3D%3D)
Błędy pracodawcy
Szkolenia w zakresie cyberbezpieczeństwa nie powinny mieć charakter jednorazowy, a być przeprowadzane regularnie, szczególnie gdy nastąpi aktualizacja systemu. Drugą istotną kwestią związaną ze szkoleniami, a jednocześnie częstym błędem popełnianym przez pracodawcę jest nieróżnicowanie rodzaju szkolenia do zajmowanego przez danego pracownika funkcji tylko przygotowanie materiału o charakterze uniwersalnym.
Obowiązki pracodawcy
Pracodawca powinien również uświadomić pracowników, że niedopuszczalna jest jakakolwiek obróbka informacji i dokumentów wytworzonych w związku z obowiązkami służbowymi z użyciem sztucznej inteligencji jako zawierających dane osobowe, choćby do sporządzania notatek ze spotkań. Również zadbanie o dostosowanie programów i systemów z których korzystają pracownicy poprzez ich aktualizacje jest rolą pracodawcy z rekomendacji osób zajmujących się IT.
Phising
Również pracodawca powinien zwrócić uwagę pracownikom na zjawisko phisingu – cyberprzestępcy podszywają się pod inne podmioty i osoby aby wyłudzić dane do logowania adresata w tym do systemów w miejscu pracy. Nazwa kojarzy się z fishingiem – po angielsku łowienie ryb, gdyż sposób działania jest podobny.
Szczególnym rodzajem phisingu z którym pracownik może się zetknąć jest spear-phising tj. treść kierowana na konkretnego adresata celem wywołania u odbiorcy określonych działań. Cyberprzestępcy mogą się podszywać pod kontrahentów, a wiadomości mogą bezpośrednio odwoływać się do nawiązanych już relacji. Tego rodzaju działania są często poprzedzone dokładnym prześwietleniem osoby która ma paść celem ataku w oparciu o informacja publiczne dostępne w szczególności w internecie.
W przypadku gdy systemy IT pracodawcy staną się celem kampanii pshishingowej powinien on rozważyć zgłoszenie sytuacji do UODO. Zaniechanie tych działań może skutkować nałożeniem kar na administratorów.
