Do typowych oszustw w aplikacji Messenger na Facebooku należą prośby o podanie kodów uwierzytelniania, fałszywe strony organizacji charytatywnych z prośbą o darowizny, wiadomości dotyczące porad inwestycyjnych i fałszywe...
Organizacje są coraz częściej pociągane do odpowiedzialności za naruszenia danych pracowników. Pracodawcy mogą jednak podjąć pewne kroki, aby zmniejszyć prawdopodobieństwo i skutki naruszenia danych.
Każda organizacja korzystająca z elektronicznego systemu płac i świadczeń przechowuje i przetwarza poufne dane pracowników. Obejmuje to praktycznie każdą działającą obecnie organizację. Z cyberatakiem, który narusza dane pracowników, wiąże się wiele zagrożeń, w tym ryzyko odpowiedzialności prawnej, przerwy w działalności i szkody dla reputacji.
Czym jest odpowiedzialność pracodawcy?
Odpowiedzialność pracodawcy to prawny obowiązek organizacji do przestrzegania praw i przepisów. Odpowiedzialność pracodawcy zazwyczaj odnosi się do takich kwestii, jak wynagrodzenia, podatki od wynagrodzeń, mobbing i dyskryminacja.
Przykładowo pracownicy mogą pozwać pracodawcę, jeśli organizacja stwarza niebezpieczne lub nieprzyjazne środowisko pracy. Firma musiałaby wypłacić odszkodowanie, jeśli sąd podjąłby decyzję na korzyść pracowników.
Czym jest odpowiedzialność pracodawcy za cyberbezpieczeństwo?
Jeśli chodzi o cyberbezpieczeństwo, odpowiedzialność pracodawcy zobowiązuje organizację do ochrony danych osobowych (PII) pracowników. Jakie to są dokładnie dane, zależne jest od konkretnej jurysdykcji. Ogólnie za PII pracowników uważa się dane, którymi zarządzają zespoły kadr i księgowości.
Typowe rodzaje PII obejmują:
- numery ubezpieczenia społecznego,
- numery prawa jazdy,
- numery paszportów,
- numery identyfikacyjne podatnika (NIP),
- adresy domowe,
- osobiste informacje finansowe (takie jak wynagrodzenie lub udziały własne), konta bankowe i karty kredytowe/płatnicze,
- dokumentację medyczną,
- adresy e-mail i numery telefonów.
Rosnący zakres odpowiedzialności pracodawcy
Wiele z danych zaliczających się do PII pracownika pokrywa się z PII klienta. Do niedawna wiele procesów wytaczanych organizacjom po naruszeniu danych skupiało się na ujawnieniu danych klientów.
Jednak pozwy zbiorowe zarzucające pracodawcom niedbalstwo, naruszenie warunków umowy lub zaangażowanie w nieuczciwe wobec pracowników praktyki biznesowe zyskują przychylność sądów, co zwiększa odpowiedzialność karną pracodawców. Od listopada 2018 r., kiedy to Sąd Najwyższy Pensylwanii orzekł, że pracodawcy mają obowiązek chronić dane osobowe pracowników na podstawie prawa zwyczajowego, sądy na poziomie federalnym, krajowym i lokalnym idą tym samym śladem.
Co ważne, to pracodawcy ponoszą odpowiedzialność w przypadku naruszenia danych pracowników, a nie dostawcy zewnętrzni.
W związku z pozwem wniesionym przez byłego pracownika firmy biofarmaceutycznej Sąd Apelacyjny Stanów Zjednoczonych dla Trzeciego Okręgu uznał, że, nawet jeśli naruszenie danych jedynie potencjalnie powoduje szkodę, pracodawca zostaje pociągnięty do odpowiedzialności. Kiedy dane z oprogramowania do obsługi płac firmy biofarmaceutycznej wyciekły w wyniku naruszenia, to pracodawca był odpowiedzialny za publikację danych pracowników w dark webie, a nie firma dostarczająca oprogramowanie.
Prywatność danych pracowników
Standardowe rozporządzenia dotyczące prywatności danych, takie jak kalifornijska ustawa o ochronie prywatności konsumentów (CCPA) i ogólne rozporządzenie o ochronie danych osobowych Unii Europejskiej (RODO), również zawierają przepisy zobowiązujące pracodawców do rygorystycznej ochrony prywatności danych pracowników, tak jak w przypadku danych klientów.
Zgodnie z RODO organizacje muszą uzyskać dobrowolną i wyraźną zgodę na gromadzenie, przechowywanie i wykorzystywanie danych pracowników. Muszą nakreślić m.in. sposób wykorzystywania danych kadrowych.
Jak wygląda kwestia odpowiedzialności pracodawcy po cyberataku?
CommonSpirit Health, jeden z największych systemów opieki zdrowotnej w Stanach Zjednoczonych, padł ofiarą ataku oprogramowaniem wymuszającym okup w październiku 2022 r. ze skutkami dla ponad 623 000 osób. Sieć szpitali całkowicie zamknęła zainfekowany system, aby uniknąć dalszych szkód w środowisku IT, m.in. w elektronicznym systemie płac i pomiaru czasu. W wyniku tych zakłóceń firma straciła 150 mln USD przychodów.
Po tym, jak działanie systemów zostało ostatecznie przywrócone, pielęgniarki w niektórych lokalizacjach firmy w Oregonie zgłaszały otrzymanie zaniżonego wynagrodzenia w kolejnych okresach wypłaty po ataku. W toczącym się procesie związek zawodowy reprezentujący pracowników w niektórych lokalizacjach sieci w Oregonie domaga się odszkodowania w wysokości 1,5 mln USD dla ponad 600 pracowników w związku z niewypłaconymi pensjami, karami za opóźnienia w płatnościach i innymi szkodami.
Podczas gdy celem tego pozwu jest zadośćuczynienie za niewypłacone wynagrodzenie, inne pozwy pracownicze zawierają żądanie odszkodowania w związku z podwyższonym ryzykiem lub wystąpieniem kradzieży tożsamości pracowników, których dane zostały naruszone w wyniku ataku.
Wśród ostatnich godnych uwagi pozwów, które powoływały się na odpowiedzialność pracodawcy po cyberataku, są:
- Five Guys — ujawnianie numerów ubezpieczenia społecznego i praw jazdy osób ubiegających się o pracę;
- San Francisco 49ers — kradzież nazwisk, dat urodzenia i numerów ubezpieczenia społecznego pracowników;
- Macmillan — atak oprogramowaniem wymuszającym okup spowodował opublikowanie danych pracowników w dark webie i kradzież tożsamości.
Wpływ cyberataku na firmę
Podobnie jak w przypadku naruszenia CommonSpirit, skutki cyberataków są widoczne w wielu różnych obszarach firmy.
- Odpowiedzialność prawna — firmy mogą ponosić odpowiedzialność za szkody powstałe w wyniku naruszenia danych pracowników. Szkody te mogą obejmować koszty wymiany kart kredytowych lub płatniczych, koszty raportów monitorujących lub inne koszty związane z cierpieniem emocjonalnym wynikającym z ryzyka kradzieży tożsamości.
- Kary regulaminowe — na firmy mogą zostać nałożone kary regulaminowe, w tym grzywny za naruszenie lub nieujawnienie naruszenia dotkniętym stronom.
- Uszczerbek na reputacji — szkody dla reputacji mogą poważnie zachwiać zaufaniem klientów i zdestabilizować wyniki działalności firmy. Nadszarpnięty wizerunek publiczny, również w oczach potencjalnych przyszłych pracowników, może zagrozić długoterminowemu sukcesowi firmy.
- Przestoje, przywracanie i przeglądy systemów IT — chociaż FBI odradza taką praktykę, organizacje mogą zdecydować się na zapłacenie okupu w celu przywrócenia dostępu do swojego środowiska. W każdym przypadku naruszenia, do kosztów działań śledczych i odzyskiwania najprawdopodobniej dochodzą również te związane ze zmianą, wymianą lub aktualizacją systemów IT firmy, które przetwarzają dane pracowników i inne poufne dane.
Jak ograniczyć odpowiedzialność pracodawcy na wypadek cyberataku?
Odpowiedzialność pracodawcy i zgodność z przepisami dotyczącymi prywatności podnoszą ryzyko i koszty i tak już wysokich wydatków związanych z cyberatakiem.
Według spisu dotyczącego cyberbezpieczeństwa w USA w 2022 r. przeprowadzonego przez Keeper przeciętna firma w USA boryka się z około trzema udanymi cyberatakami rocznie. Średni koszt za cyberatak przekracza 75 000 USD, a 37% organizacji płaci każdorazowo co najmniej 100 000 USD. Dla małych i średnich firm skutki ataków mogą być więc katastrofalne.
Pracodawcy mogą ograniczyć odpowiedzialność za cyberatak na dane pracowników, chroniąc je w następujący sposób:
- Szkolenia z zakresu świadomości cyberbezpieczeństwa — gdy pracownicy są w stanie zidentyfikować podejrzany link lub załącznik, mogą uchronić pracodawcę przed zagrożeniami. Edukacja pracowników w zakresie typowych cech phishingu lub oprogramowania wymuszającego okup chroni pracowników i organizacje przed padnięciem ofiarą ataków.
- Polityka prywatności pracowników — w niektórych regionach stosowanie polityki prywatności danych pracowników może być wymagane przez prawo. Polityki prywatności danych pracowników wyjaśniają, w jaki sposób dane pracowników są gromadzone, przechowywane i wykorzystywane.
- Ustawianie silnych haseł — ponad 80% naruszeń danych jest możliwe z powodu słabych, skradzionych lub ponownie używanych haseł. Dobry sposób na tworzenie i przechowywanie silnych, losowych haseł pomaga pracownikom w zapobieganiu najczęstszej przyczynie naruszeń danych.
- Zarządzanie uprawnieniami — rozwiązanie do zarządzania uprawnieniami umożliwia organizacjom kontrolowanie uprawnień i monitorowanie korzystania z krytycznych kont, ograniczając ryzyko nieautoryzowanego dostępu do poufnych informacji.
- Zabezpieczenia dostawców — należy pamiętać, że to pracodawcy, a nie strony trzecie, ponoszą odpowiedzialność za naruszenia danych w wyniku wycieku danych przez dostawcę. Zapewnienie zabezpieczeń na poziomie dostawców ma kluczowe znaczenie dla budowania silnego środowiska IT.
- Plany reagowania na incydenty — plan reagowania na incydenty, który przypisuje odpowiedzialność za krytyczne działania, takie jak analizy z zakresu informatyki śledczej, odzyskiwanie danych i komunikacja strategiczna, powinien ograniczyć odpowiedzialność pracodawcy i ogólne skutki naruszenia.
- Ubezpieczenie cybernetyczne — ubezpieczenie cybernetyczne może złagodzić skutki naruszenia, pomagając firmom w zminimalizowaniu ryzyka i pokryciu kosztów reagowania na atak. Wiele polis ubezpieczenia cybernetycznego oferuje organizacjom o niskiej dojrzałości IT, które cechują się podwyższonym ryzykiem naruszenia, analizę gotowości w celu poprawy praktyk bezpieczeństwa oraz programy szkoleniowe dla pracowników.
Odpowiedzialność pracodawcy i zarządzanie uprzywilejowanym dostępem
Pracodawcy mogą ograniczyć swoją odpowiedzialność i ryzyko poprzez kontrolowanie i monitorowanie dostępu do poufnych kont i informacji.
Keeper Privileged Access Manager (KeeperPAM) został stworzony do ochrony wielochmurowych środowisk bezobwodowych przed cyberatakami. KeeperPAM zapewnia dostęp do haseł, wpisów tajnych i zarządzania uprzywilejowanymi połączeniami na prostej platformie klasy korporacyjnej, co umożliwia organizacjom ekonomiczne zmniejszenie powierzchni ataku oraz ochronę pracowników i urządzeń.