29 czerwca odbył się kolejny webinar z cyklu „Pogadajmy o bezpieczeństwie”, będący częścią projektu #safeTRANSactions. Tym razem nasi eksperci zajęli się tematem danych. Jakie przepisy w zakresie bezpieczeństwa danych obowiązują nas wszystkich? Jakie są dobre praktyki? Jak jest to powiązane z bezpieczeństwem platformy? Poniżej znajdziecie podsumowanie najważniejszych wątków poruszonych na webinarze, a także pokazywaną na nim prezentację i pełne nagranie wydarzenia.
WEBINAR „DANE NA PLATFORMIE W SŁUŻBIE BEZPIECZEŃSTWA”
👉 TUTAJ możecie obejrzeć nagranie całego spotkania.
👉 TUTAJ możecie zobaczyć prezentację ze spotkania.
👉 TUTAJ możecie znaleźć nagrania wszystkich webinarów z cyklu „Pogadajmy o bezpieczeństwie”.
REGULACJE PRAWNE W ZAKRESIE BEZPIECZEŃSTWA DANYCH
Platforma Trans.eu to typowa usługa B2B (business-to-business), która działa w oparciu o duże ilości przetwarzanych danych osobowych. W związku z tym musi spełniać wytyczne, które wynikają z szeregu regulacji prawnych definiujących standardy ochrony danych osobowych. Należą do nich:
- Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną,
- unijny Akt o usługach cyfrowych DSA (wchodzący w życie w przyszłym roku),
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych,
- Ogólne rozporządzenie o ochronie danych (RODO),
- Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa,
- dyrektywa Bezpieczeństwo sieci i systemów informatycznych (NIS).
Wszystkie powyższe akty prawne nakładają na nas, jako administratora danych i dostawcę usług cyfrowych, wymogi związane z zabezpieczeniem, przechowywaniem i przetwarzaniem danych, a także raportowania ewentualnych nieprawidłowości. Potwierdzeniem realizacji tych wymogów jest odnawiany co roku certyfikat ISO.
- mec. Anna Widuch-Koła
- CISM, Product Law & Security Area Leader
- Trans.eu Group S.A. rokrocznie poddaje się audytom w zakresie Zarządzania Bezpieczeństwem Informacji. Są one realizowane przez uznaną międzynarodową organizację certyfikującą DEKRA, w oparciu o normę ISO/IEC 27001. Efektem pozytywnego przejścia audytu jest certyfikat ISO/IEC 27001. Dla użytkowników platformy jest on gwarantem stosowania się przez Trans.eu do wszystkich wynikających z międzynarodowych standardów (wymogów prawnych i “best practices”) w zakresie bezpieczeństwa danych.
Więcej informacji o certyfikatach i audytach ISO znajdziecie na naszej stronie www.
PROCESY WZMACNIAJĄCE BEZPIECZEŃSTWO PLATFORMY
Jako administrator platformy dysponujemy zabezpieczeniami technicznymi i technologicznymi, zgodnie z obowiązującymi nas wymogami. Bezpieczeństwo danych wspieramy również na poziomie codziennych, operacyjnych procesów. Są to przede wszystkim:
- autoryzacja, czyli weryfikacja firmy przed nadaniem jej dostępu do platformy. Jej celem jest potwierdzenie wiarygodności firmy i jak najlepsze wykluczenia ryzyka nadania dostępu wątpliwej uczciwości podmiotom;
- reautoryzacja, czyli weryfikacja podmiotu już działającego na platformie w przypadku podejrzenia naruszenia przez niego regulaminu, np. zgłoszenia o posiadaniu nieprawdziwych danych;
- security audit, czyli weryfikowanie i reagowanie na wszelkie zgłoszenia przesyłane do Zespołu Bezpieczeństwa, np. wątpliwości co do rzeczywistej tożsamości danego kontrahenta;
- monitoring, czyli stały i wciąż rozwijany proces automatycznego wychwytywania aktywności, które mogą zagrażać bezpieczeństwu innych użytkowników platformy.
- Piotr Sobala
- Product Security Field Leader
- Nasze wewnętrzne procesy wspierające bezpieczeństwo są stale rozwijane i wzajemnie się uzupełniają. O ich skuteczności może świadczyć fakt, że ok. ⅔ firm rejestrujących się na platformie i starających się o dostęp do niej jest przez nas odrzucana już na etapie autoryzacji.
DANE NA PLATFORMIE W SŁUŻBIE BEZPIECZEŃSTWA
Dane, którymi posługują się użytkownicy platformy, można podzielić na 4 kategorie: dane firmowe (np. nazwa, NIP, spis wspólników), dane osobowe (związane z kontem użytkownika pochodnego, np. imię i nazwisko, numer telefonu), dane wynikające z podejmowanych na platformie działaniami (np. zawierane transakcje, wystawione lub otrzymane oceny) oraz dane związane z dostępem do konta (hasła i loginy).
🟠 Dane firmowe i osobiste
W zakresie danych tzw. Kont Pochodnych (UserID), zakładanych dla pracowników, Trans.eu jest procesorem danych, a więc odpowiada za bezpieczeństwo ich przetwarzania i przechowywania. Warto jednak pamiętać, że odpowiedzialność za zgodność danych ze stanem faktycznym spoczywa na danej firmie, czyli konkretnym Użytkowniku (OffcieID). Określa to obowiązujący nas wszystkich regulamin (V 2.1).
– Wiarygodne dane podawane przez użytkowników umożliwiają m.in. weryfikację danego podmiotu i jego ewentualnych powiązań, a więc w praktyce mają ogromny wpływ na kształtowanie bezpieczeństwa na platformie – tłumaczy r.pr. Anna Widuch-Koła. – Nieprawdziwe, nieaktualne lub zakłamane dane to rażące naruszenie regulaminu. Wykryte wiąże się z poważnymi sankcjami: czasowym lub trwałym odebraniem dostępu do platformy.
Na użytkownikach spoczywa również obowiązek zgłaszania administratorowi wszelkich zmiany danych.
- ZAPAMIĘTAJ!
- ✅ Dbaj o aktualność danych na koncie swojej firmy na platformie. Niezwłocznie zgłaszaj wszelkie zmiany danych, w tym zmiany na poziomie składu osobowego w spółce.
✅ Dla swojego bezpieczeństwa zgłoś sprzedaż udziałów w spółce czy rezygnację z funkcji w zarządzie.
✅ Konto konkretnego pracownika, w tym login i hasło do niego, nie może być wykorzystywane przez inne osoby.
✅ Jako administrator danych osobowych swoich pracowników masz obowiązek zaprzestania korzystania z danych osobowych pracownika w momencie, gdy ustał z nim stosunek pracy. Oznacza to, że np. jego konta na platformie nie można przekazać innej osobie.
🟠 Dane wynikające z podejmowanych na platformie działań
Mówiąc o danych wynikających z aktywności na platformie trzeba przypomnieć, że formalna akceptacja transakcji pochodzących z ofert negocjowanych w ramach platformy to nie tylko dobra praktyka, lecz również regulaminowy obowiązek (V 3.3). Pamiętajmy też, że tylko formalna transakcja daje możliwość wystawienia kontrahentowi oceny. Ocena z kolei jest nie tylko cenną wskazówką dla innych użytkowników na temat uczciwości kontrahenta, ale też otwiera nam możliwość szybkiego zgłoszenia ewentualnych nieprawidłowości we współpracy.
– Formalne akceptowanie transakcji, oceny i komentarze to narzędzia przede wszystkim dla użytkowników platformy. Stanowią swego rodzaju system wymiany informacji, ostrzeżeń i rekomendacji, ale też umożliwiają działania w sytuacji gdy we współpracy z kontrahentem dzieje się coś nie tak – mówi Piotr Sobala. – Brak formalnej transakcji utrudnia lub wręcz uniemożliwia podjęcie działań pomocnych w razie sporów czy problemów, użytkownik musi wówczas samodzielnie udowodnić fakt transakcji.
- ZAPAMIĘTAJ!
- ✅ Akceptując ofertę na platformie zawsze zawieraj transakcję formalną.
✅ Zgłaszaj fakt unikania przez daną firmę transakcji formalnych – możesz skorzystać z formularza online lub napisać na bezpieczenstwo@trans.eu.
✅ Korzystaj z możliwości wystawiania ocen kontrahentom, z którymi współpracujesz. Wszelkie problemy z tym związane możesz zgłaszać na bezpieczenstwo@trans.eu.
✅ Jako administrator danych osobowych swoich pracowników masz obowiązek zaprzestania korzystania z danych osobowych pracownika w momencie, gdy ustał z nim stosunek pracy. Oznacza to, że np. jego konta na platformie nie można przekazać innej osobie.
🟠 Dane związane z dostępem do konta
Na bezpieczeństwo danych oraz transakcji zawieranych na platformie niemały wpływ mają również kwestie związane z samym korzystaniem z konta, począwszy od dostępu do niego. Trans.eu jako administrator platformy od wielu lat wspiera bezpieczeństwo logowania, m.in. stosując uwierzytelnianie wielostopniowe (2FA/MFA) oraz szyfrowanie logowań.
Sporo w tym obszarze zależy jednak od samych użytkowników i ich praktyk związanych z tworzeniem i wykorzystaniem haseł. Na naszym blogu znajdziecie bardzo pomocny w tym zakresie cykl edukacyjnych artykułów:
- Twoje cyberbezpieczeństwo. Część 1: bezpieczne hasło
- Twoje cyberbezpieczeństwo. Część 2: bezpieczne konto
- Twoje cyberbezpieczeństwo. Część 3: z życia wzięte
- ZAPAMIĘTAJ!
- ✅ Hasło powinno być przez każdego użytkownika ustalone indywidualnie, z zastosowaniem dobrych praktyk tworzenia bezpiecznego hasła.
✅ Wykluczone jest udostępnianie loginu i hasła do konta osobom trzecim, np. współpracownikom.
✅ Najlepszą praktyką jest stosowanie różnych haseł do różnych aplikacji czy kont.
DANE A BEZPIECZEŃSTWO W PRAKTYCE, CZYLI PRZYKŁADY Z ŻYCIA
Na koniec webinaru nasi eksperci opowiedzieli o kilku przykładach, gdy brak odpowiedniej dbałości o dane obrócił się przeciwko ich właścicielom.
👉 Pierwszy przykład dotyczył sytuacji, gdy właściciel wiele lat istniejącej na rynku spółki przewozowej o bardzo dobrej renomie sprzedał ją. Samo to nie było oczywiście naruszeniem, ale nie poinformowanie nas o sprzedaży już tak – taki wymóg nakłada regulamin. Negatywne skutki niedopełnienia tego obowiązku odbiły się niestety i na samym właścicielu, i na innych użytkownikach platformy. Jak?
Nim dowiedzieliśmy się o zmianie właściciela spółki jej nowy właściciel (który przejął firmę wraz z dostępem do jej kont na platformie) zdążył już oszukać współpracujące z nim firmy i ukraść im ładunki. Skoro dane na platformie były wciąż te same wszyscy sądzili, że pracują z firmą, z którą do tej pory działali – rzetelną, z wieloletnią i dobrą renomą, sprawdzoną…
Ostatecznie dobre imię wcześniejszego właściciela zostało mocno nadszarpnięte, był on też przez wiele miesięcy wplątany zarówno w kontakt z poszkodowanymi jak i z prowadzącymi postępowanie organami. Straty poniosły też firmy, których ładunki skradziono. Do niczego takiego by nie doszło, gdyby dopełniony został obowiązek zgłoszenia aktualizacji danych. Taki podmiot zostałby poddany reautoryzacji i prawdopodobnie na etapie ustalania prawdziwych danych nabywcy zostałby zablokowany na Platformie.
👉 Kolejny przykład związany jest z opublikowaną niedawno w Internecie bazą danych (hasła i loginy) służących do logowania w różnych serwisach. Sprawa dotyczyła ponad 6 mln rekordów, które pochodziły ze słabo zabezpieczonych urządzeń, tj. komputerów czy telefonów, na których zainstalowane zostało złośliwe oprogramowanie. Według naszej analizy w bazie tej znalazły się również dane, które mogły posłużyć do zalogowania się do kont istniejących na naszej platformie. Jaki miało to efekt?
Na szczęście, tym razem obeszło się bez negatywnych skutków, ale tylko i wyłącznie dzięki naszej szybkiej interwencji. Wytypowani użytkownicy, których konta były narażone na nieuprawnione logowanie, zostali poinformowani i poinstruowani odnośnie jak najszybszej zmiany danych logowania i zabezpieczenia dostępu do konta. Ci, z którymi nie udało się nam się skontaktować telefonicznie, zostali czasowo zablokowani na platformie – po to, by wyeliminować niebezpieczeństwo skorzystania z ich kont przez nieuprawnione osoby. O sytuacji, wraz ze wskazówkami na temat cyberbezpieczeństwa, informowaliśmy również na naszej grupie Bezpieczeństwo na Platformie Trans.eu.
Ostatecznie, dzięki sprawnie przeprowadzonej akcji, naszym klientom udało się uniknąć jakichkolwiek negatywnych konsekwencji, na które tak naprawdę narazili się sami przez niedbałość w zabezpieczeniu swoich własnych danych. Z naszych informacji wynika, że w większości przypadków zagrożeni użytkownicy posiadali takie samo hasło do więcej niż jednej aplikacji, np. do platformy i do konta e-mail, co jak wszyscy wiemy jest jednym z podstawowych błędów cyberbezpieczeństwa (umożliwia przestępcy obejście dwustopniowego uwierzytelniania).
👉 Ostatni przykład dotyczył sytuacji, gdy nie dopatrzono blokady konta pracownika, który już z daną firmą nie współpracuje – czyli użytkownika pochodnego. Zgłosiła się do nas osoba X, która twierdziła, że konto, z którego w przeszłości korzystała jako pracownik firmy Y, jest wciąż aktywne. Miały z niego korzystać inni pracownicy firmy Y, mimo że widniejące na nim dane wskazywały na osobę X.
Jak każde zgłoszenie do Zespołu Bezpieczeństwa przeanalizowaliśmy ten przypadek i faktycznie – okazało się z powodu wygody czy też zachowania historii transakcji na koncie osoby X, firma zdecydowała się nie zablokować konta byłego pracownika i udostępnić je do pracy innym osobom. Jaki był tego skutek?
Konto oczywiście zostało zablokowane, zgodnie z naszym regulaminem. Warto jednak zwrócić uwagę, że z perspektywy klienta konsekwencje mogły być jeszcze mniej przyjemne: od nadszarpnięcia dobrego wizerunku, reautoryzację, czyli czasową blokadę dostępu do platformy i ponowną weryfikację rzetelności działania, aż po sytuację, w której eks-pracownik związałby się np. z podejrzanej uczciwości podmiotem, co z pewnością w jakiś sposób odbiłoby się na jego wcześniejszym pracodawcy.
ZAMIAST ZAKOŃCZENIA
Pełne nagranie webinaru „Dane na platformie w służbie bezpieczeństwa” znajdziecie na naszym kanale na YouTubie (link). Znajdziecie tam również nagrania wcześniejszych sześciu webinarów realizowanych w ramach cyklu „Pogadajmy o bezpieczeństwie”.
Zachęcamy Was również do dołączenia do naszej grupy Bezpieczeństwo na Platformie Trans.eu, w której dzielimy się materiałami edukacyjnymi i poradami ekspertów. Znajdziecie na niej również informacje o wcześniejszych i planowanych webinarach.
Jeśli zaś chcecie skontaktować się z nami, zgłosić incydent bezpieczeństwa lub skonsultować konkretną sytuację, zapraszamy:
Zespół Bezpieczeństwa dostępny jest
🟠 telefonicznie (71 734 17 00),
🟠 e-mailowo bezpieczenstwo@trans.eu,
🟠 przez prosty formularz online,
🟠 przez grupę na Facebooku.
Więcej artykułów poruszających kwestie bezpieczeństwa na Platformie Trans.eu znajdziecie tu.
