Incydenty ochrony danych osobowych – Raport ZFODO
Związek Firm Ochrony Danych Osobowych (ZFODO) przygotował raport „Incydenty ochrony danych osobowych 2020”. Jest to opracowanie badawcze przeprowadzone na 454 organizacjach w okresie maj 2019-maj 2020. Firmy i podmioty publiczne na których przeprowadzono badanie obsługuje 9 różnych firm zrzeszonych w ZFODO.
Raport podaje, że w okresie 25 maja 2019-25 maja 2020 odnotowano 297 incydentów w zakresie ochrony danych osobowych. Więcej niż 2/3 z nich była jednak na tyle niegroźna, że zgodnie z obowiązującym prawem zdecydowano się nie zgłaszać ich do Urzędu Ochrony Danych Osobowych.
Spośród wszystkich incydentów ochrony danych, 30% z nich zakwalifikowano jako te, które wymagają zgłoszenia osobom, których dane dotyczą.
Branże
Najwięcej incydentów zdarzyło się w branży handlowej/e-commerce. Wygenerowała ona 26% całej liczby incydentów w uwzględnionym roku. Jak komentują eksperci ZFODO, tak duży procent mógł mieć związek ze słynną sprawą sklepu internetowego morele.net. Udział pozostałych branż w incydentach bezpieczeństwa danych wygląda następująco: przemysł/produkcja – 13%, finanse/ubezpieczenia – 8%, mieszkalnictwo/nieruchomości – 7%. Branża zbiorczo nazwana jako „pozostałe”, obejmująca szkolnictwo, transport, zdrowie, fundacje wygenerowała 9% incydentów, a „inne” sektora publiczne 6% w porównaniu do 31% „innych” sektora prywatnego. Te dane mogą być jednak złudne, ponieważ jak przyznaje ZFODO – firmy zrzeszone w związku obsługują w większości sektor prywatny.
Naruszenia
Raport stwierdza jednoznacznie – ogromną większość incydentów ochrony danych osobowych powodują pracownicy organizacji (lub współpracownicy). Tylko 20% incydentów powstała w wyniku czynników zewnętrznych, np. ataków hakerskich. Aż 68% miało korzenie w firmie, a 12% zostało spowodowanych przez procesora.
Tylko nieliczne incydenty były popełnione umyślnie, takie jak kradzieże i wyłudzenia (8%). Reszta – 92% to przede wszystkim błędnie zaadresowane maile, brak stosowania kopii ukrytej, wysyłka korespondencji tradycyjnej z błędną zawartością (dane osobowe innej osoby).
Praktycznie wszystkie incydenty (96%) powstało z winy człowieka. Najczęściej ginęły takie dane jak imię i nazwisko (23%), e-mail (22%), PESEL (19%), dane finansowe (14%), dane pracowników (8%), adres (7%), adres dostawy (4%). Reszta, czyli, inne stanowi 3%.
