Wyciek danych

Z Encyklopedia Zarządzania
Wersja z dnia 17:38, 3 lis 2023 autorstwa Zybex (dyskusja | edycje) (cleanup bibliografii i rotten links)
Wyciek danych
Polecane artykuły

Wyciek danych to niepożądane zdarzenie skutkujące upowszechnieniem danych, przyczyną którego jest utrata lub nieautoryzowane użycie [1]. Do takiej sytuacji dochodzi gdy atrybuty bezpieczeństwa nie zostały zachowane. Według normy PN-I-13335-1 atrybuty bezpieczeństwa informacji to: poufność, autentyczność, dostępność integralność danych, integralność systemu, integralność, rozliczalność, niezawodność[2].

Przyczyny utraty danych

Wyciek danych spowodowany jest[3]:

  • Zagrożeniami wewnętrznymi:
    • błędy użytkowników, wyrządzone brakiem odpowiednich szkoleń lub niedbałością w wykonywaniu swoich obowiązków,
    • celowe działania niezadowolonych lub skorumpowanych pracowników, skutkujące kradzieżą, fałszerstwem, zniszczeniem a nawet podpaleniem,
    • niesprawność systemów informatycznych i sprzętowych, spowodowana zużyciem lub nieprawidłowym użytkowaniem.
  • Zagrożeniami zewnętrznymi:
    • umyślne ataki na system informacyjny skutkujące utratą danych,
    • awaria sprzętu, wynikającą z braku prądu,
    • kataklizmy naturalne takie jak powódź, pożar, trzęsienie ziemi,
    • katastrofy budowlane, komunikacyjne.

Baza danych a nieautoryzowane użycie

Zasoby informacji i wiedzy magazynowane są w bazach dzięki profesjonalnemu oprogramowaniu. W bazie danych organizacji znajdują się dane pracowników, informacje o organizacji, meta dane oraz para dane [4]. Te bardzo wrażliwe informacje mogą zostać użyte przez nieuprawnione podmioty. Analizując trójkąt niematerialnych zasobów organizacji, można wywnioskować, że w przypadku wycieku z bazy danych, tylko wyselekcjonowane dane, poddane analizie oraz przedstawione w odpowiedni sposób staną się użyteczną informacją. Gdy istotne informacje zostają zinterpretowane przez odbiorcę i mają dla niego wartość, wtedy stają się wiedzą. Zdobytą wiedzę można wykorzystać przeciwko organizacji [5][6].

Rys. 1. Hierarchia DIKW: data, information, knowledge, wisdom (źródło: M. Grabowski, A. Zając 2009, s. 102)

Bezpieczeństwo i regulacje prawne

Istnieje akt prawny który reguluje politykę bezpieczeństwa informacji w Polsce: "Art.1.Bazy danych podlegają ochronie określonej w ustawie niezależnie od ochrony przyznanej na podstawie ustawy z dnia 4 lutego 1994r. o prawie autorskim i prawach pokrewnych (Dz.U. z 2019 r. poz. 1231) bazom danych spełniającym cechy utworu". [7]

Aby zapewnić bezpieczeństwo i zapobiec wyciekom danych trzeba ciągle doskonalić systemy informacyjne. "Bezpieczeństwo nie jest działaniem jednorazowym polegającym na wdrożeniu zabezpieczeń, lecz ciągłym, dynamicznym i złożonym procesem, wymagającym stałego nadzoru i przystosowania do zmiennych warunków otoczenia. Ponadto bezpieczeństwo należy rozpatrywać w aspekcie organizacyjnym, technicznym oraz prawnym[8]".

W przypadku danych osobowych, ujawnienie ich lub modyfikacja przez nieuprawnione podmioty jest regulowana aktem prawnym "Art.43.Osoby, które zostały upoważnione do przetwarzania danych osobowych, są obowiązane do zapewnienia bezpieczeństwa danych osobowych, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz ich przypadkową utratą, zniszczeniem lub uszkodzeniem, jak również do zachowania w tajemnicy udostępnionych danych osobowych oraz sposobów ich zabezpieczenia[9] ".

Tylko ciągłe doskonalenie funkcjonowania systemów bezpieczeństwa, wdrażanie ostrych procedur i prowadzenie cyklicznych szkoleń pracowników może zmniejszyć ryzyko lub prawie wyeliminować zagrożenie wycieku danych [10].

Przypisy

  1. J. Madej 2011, s. 37
  2. ISO/IEC TR 13335/PN-I-13335-1
  3. J. Czekaj 2012, s. 126-132
  4. J. Kisielnicki 2013, s. 39-40
  5. M. Grabowski, A. Zając 2009, s. 111-113
  6. J. Kisielnicki 2013, s. 27-28
  7. Ustawa o ochronie baz danych, 2001, s. 3
  8. J. Czekaj 2012, s. 128
  9. Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, 2018, s. 14
  10. J. Kisielnicki 2013, s.42

Bibliografia

  • Czekaj J. (red) (2012), Podstawy zarządzania informacją, Wydawnictwo Uniwersytetu Ekonomicznego w Krakowie, Kraków, s. 126-132
  • Grabowski M., Zając A. (2009), Dane, informacja, wiedza - próba definicji, "Zeszyty Naukowe Uniwersytetu Ekonomicznego w Krakowie", nr 798, s. 11-113
  • Kisielnicki J. (2013), Systemy informatyczne zarządzania, Placet, s. 27-28, 39-40, 42
  • Madej J. (2011), Wydatki na bezpieczeństwo systemów informatycznych : inwestycja czy koszt funkcjonowania systemu?, "Zeszyty Naukowe Uniwersytetu Ekonomicznego w Krakowie", nr 865, s. 37
  • Ustawa o ochronie baz danych, Dz.U. 2019 poz. 125
  • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz.U. 2018 poz. 1000
Uwaga.png

Treść tego artykułu została oparta na aktach prawnych.

Zwróć uwagę, że niektóre akty prawne mogły ulec zmianie od czasu publikacji tego tekstu.

Autor: Alicja Wojciechowska