Dane olewane


Close-up Of A Person Trying To Shake Hand With A Person Showing Fuck Gesture

Bezpieczeństwo danych klienta? Mamy na to wy***ne! – Klemens Burack o realiach branży reklamowej*.

Od 25 maja 2018 wchodzi w życie RODO, które zastępuje dotychczasowe regulacje odnośnie pozyskiwania danych oraz ich wykorzystywania. Temat jest gorący jak kartofel wyciągnięty z popiołu, zważywszy na to, iż termin wdrożenia tuż-tuż, a  konkretów brak.

O ile temat RODO podkręcany jest przez rosnącą w tempie geometrycznym liczbę ekspertów oferujących „zrobienie ci dobrze”, o tyle kwestia bezpieczeństwa przechowywania danych jest passé i przez większość jednostek określających się mianem „homo sapiens” praktycznie  traktowana jest olewająco. Tryskamy informacjami niczym gejzer, nie zważając na to kto, gdzie i w jaki sposób z nich skorzysta. O ile z własnymi personaliami możemy robić co chcemy, to z powierzonymi informacjami powinniśmy postępować troszkę inaczej… Podobno.

Przychodzi klient do agencji

Kiedy klient przychodzi do agencji marketingowej, interaktywnej, 360… (wpisz tu co tylko chcesz), oczekuje pełnego profesjonalizmu w kwestii obsługi, jak i realizacji konkretnego zlecenia. Praktycznie każdy w branży będzie klął się na wszystkie świętości, iż to właśnie jego agencja jest „najprofeszynalniejsza” pośród innych „profeszionalów”. Do tego przez duże „P”.

Podpisywanie umowy – zdjęcie ilustracyjne, freepik.com

Gdy już klient uzna, iż argumentacja była wystarczająca do nawiązania współpracy, zwykle podpisuje umowę… i przekazuje odpowiednie dane do realizacji przedmiotu zamówienia. TADAM! Tu strzelają korki od szampanów, w powietrzu unosi się zapach pieniędzy, a drzwi do „zajebistości” wyważane są z hukiem. Taka wizja to chyba tylko w Wilku z Wall Street… Rzeczywistość jest nieco inna: umowa trafia do segregatora (w lepsiejszych agencyjach dodatkowo skanowana)…. a klient przesyła dane mailem.

Agencje możemy podzielić na duże, małe, średnie, dobre, złe, znane i „kto to qwa jest?”. Bez względu na to, jakie przyjmiemy kryteria, fakty się nie zmienią: wszyscy obracamy danymi, które nie powinny w żadnym wypadku trafić w niepowołane ręce. Jeśli jesteś klientem i wydaje ci się, że przesyłane dane do agencji są bezpieczne, to polecam zakończyć lekturę niniejszego tekstu i zająć się czymś przyjemnym, gdyż w dalszej części nie będzie różowo.  Jeśli prowadzisz agencję i jesteś święcie przekonana/y, że jest kozacko, proponuję jednak dotrwać do końca… mimo iż będzie trochę boleć.

Spoufalenie zamiast poufności

Pierwszy punkt do sprawdzenia to zapisy umowy. Klauzula poufności ma zapewnić klienta, iż wszystkie przekazane przez niego informacje będą wykorzystane w określony sposób oraz nie będą udostępniane podmiotom niezwiązanym z realizacją zlecenia. Teoretycznie temat oczywisty jak 2+2=4. W praktyce takie zapisy spotkałem w umowach tylko z dużymi i średnimi „graczami”. Oraz w jednostkowych przypadkach wśród agencji zatrudniających do 10 osób. Brak klauzuli poufności nie jest karany więzieniem, aczkolwiek częściej można spotkać zapis o przeniesieniu praw majątkowych niż gwarancję bezpieczeństwa danych.

Klauzula poufności dotyczy również zapisów umów z pracownikami oraz podwykonawcami. Współpraca z podzleceniobiorcami nie jest niczym nadzwyczajnym, jednak niejednokrotnie o tym fakcie klient nie jest informowany… Bo i po co mu to wiedzieć? „Wilk syty i owca cała”.

Kwas zaczyna się robić, gdy przez głupotę, nieudolność lub ignorancję dochodzi do sytuacji, w której podwykonawca kontaktuje się bezpośrednio z klientem, lub wysyła wiadomość z innego adresu e-mail niż „określony- firmowy”. Nietrudno przewidzieć skutki takiego zdarzenia.

Inną kwestią jest popularna „optymalizacja kosztów” czyli oranie stażystami. Nic nie obniża kosztów tak jak półdarmowa lub wręcz darmowa siła robocza „za wpis do CV”. Staże w branży kreatywnej lub IT to idealny punkt do rozpoczęcia „gównoburzy” – jeśli temat jest dla ciebie kontrowersyjny, potraktuj to jak kontrolny strzał w pysk. Nie mam zamiaru dotykać aspektów moralnych i wdawać się fundamentalne dyskusje o „wyższości Świąt Bożego Narodzenia nad Wielkanocą”.

Staże mają swoje plusy i minusy…. A głównym minusem jest duża rotacja „potencjalnych” pracowników. W ogarniętych firmach, stażyści nie mają bezpośredniego dostępu do danych klientów, lub bardzo ograniczony i nadzorowany przez opiekunów. Podyktowane jest to „warunkami bezpieczeństwa”. Podobno… Dodatkowo, umowy o staż zawierają klauzulę poufności. „Inne” (czyt. nieogarnięte) agencje  mają do tego seksualne podejście: walą to. Robota ma być zrobiona, a hajs się zgadzać. Co z tego, że osoba, której zadaniem jest „nabywanie wiedzy i umiejętności” ma swobodny dostęp do informacji o finansach, strategii oraz klientach zleceniodawcy. „Przecież i tak z tym nic nie zrobi!”.

Bezpieczeństwo stanowiska pracy

Skoro już ruszyliśmy temat dostępu do danych klientów…  czas nieco głębiej wsadzić kij w mrowisko: komputery i infrastruktura IT. Nie będę poruszał w tym momencie technicznych aspektów bezpieczeństwa danych a tylko ogólny zarys sytuacji. Szczegóły pozwolę sobie zostawić na odrębny artykuł.

Wracając do początku: umowa podpisana, szczegóły i konkretne dane na mail. Wiadomość trafia do osoby odpowiedzialnej za prowadzenie projektu. Z reguły wiadomości e-mail otwierane są w:

  • Przeglądarce,
  • Lokalnym kliencie poczty,
  • Systemie CRM,
  • Innym oprogramowaniu do zarządzania projektami.

Możemy to jeszcze bardziej rozbić, np. na urządzenia przenośne (laptop, smartfon, tablet) lub stacjonarne (stacje robocze). Większość osób odpowiadających za kontakt z klientem pracuje na przenośnych.

Załóżmy scenariusz: jesteś project managerem i odpowiadasz za przebudowę sklepu internetowego.

W jaki sposób masz zabezpieczone te urządzenia przed utratą danych? Tylko hasło do logowania? A aktualną kopię bezpieczeństwa? Hmm… to może coś z „wyższej półki” jak szyfrowanie dysku?

Wbrew temu, co może wydawać się, utrata danych nie jest wcale taka trudna. Urządzenia przenośne mają to do siebie, że można je zgubić, zniszczyć lub ukraść. Jeśli uważasz, że popadam w skrajność to pojadę po bandzie: jak przechowujesz dane dostępowe klienta np. do panelu administracyjnego strony, sklepu, dane do serwera lub baz danych? Mamy tendencję do ułatwiania sobie życie, więc zapewne ktoś wpadnie na pomysł, by zapisywać je w przeglądarce… bo to ułatwia życie. Jeśli nie w przeglądarce to gdzie?

Znam osobistości, które dane newralgiczne zapisują w dokumentach tekstowych lub arkuszach kalkulacyjnych… bez zabezpieczenia ich hasłem. Jeśli korzystasz ze specjalnego oprogramowania do przechowywania haseł – możemy przybić „żółwia” – nie jest źle.

Znajomy, który zajmuje się bezpieczeństwem danych mawia, że ludzie dzielą się na tych, co robią kopie bezpieczeństwa oraz na tych, którzy jeszcze nie stracili danych. Nie traktuj backupów jako środka przeciw biegunce, a raczej jak witaminy. Odzyskanie danych przez specjalistów bywa duuuużo droższe niż profilaktyka.

Jeśli to do ciebie nie przemawia, wyobraź sobie sytuację, że zalewasz laptop kawą, skrzynkę masz na protokole POP3, dane na dysku, a klient potrzebuje pilnie plik, który był wysłany kilka dni wcześniej, bo nie zapisał go, a wiadomość przez przypadek skasował. Co robisz?

Branża IT to specyficzne środowisko:  zdecydowana większość wie, z czym pracuje i jak dbać o bezpieczeństwo danych. Chyba, że „zespół” to akurat 1 full-stack i 5 praktykantów. W końcu jednego programistę można zastąpić skończoną ilością stażystów.

Praca w agencji – zdjęcie ilustracyjne, freepik.com

Marketing i PR to osobny „sort” ludzi, który nie zawsze zdaje sobie sprawę z tego, czym dysponuje. Jeśli czujesz się urażony/a – zmień robotę. Nie ukryjesz tego, że niski próg wejścia robi „specjalistów” z osób, które nie powinny pracować nie tylko z danymi, ale przede wszystkim z przekonaniami i emocjami innych, których w tej branży nie brakuje. Czyż nie tak? IT zwykle ma procedury na wypadek utraty danych, które w większości przypadków sprawdzają się bez problemu (AdWeb to inna bajka).

Ciągniemy pierwszy scenariusz: klient dogadany, czas przekazać dane współpracownikom. Przebudowa sklepów internetowych zwykle wiąże się z migracją danych, bez względu na to, czy rozbudowujesz w oparciu o istniejący system, czy wykorzystuje się do tego nowy.

W zależności od „kultury”, dane pobierane są lokalnie na dysk (ewentualnie wewnętrzny serwer), lub operacja wykonywana jest między serwerami: docelowym a testowym. Bez względu na to, jak to zostanie wykonane, ktoś ma dostęp do danych.

W tym miejscu pojawia się to samo pytanie, co na początku: jak są zabezpieczone stacje robocze przed utratą danych? Jak często wykonywane są kopie bezpieczeństwa? Oczywistą kwestią jest to, że IT wykorzystuje systemy kontroli wersji, gdzie przechowane są aktualne modyfikacje. Jednakże co w przypadku innych branż?

W swojej pracy zawodowej spotkałem się z agencjami reklamowymi, które przechowywały projekty graficzne na wspólnym zewnętrznym dysku, podłączonym do sieci. W sumie nic mi do tego… ale dysk sieciowy podpięty do najtańszej listwy, bez codziennych kopii? To grozi paraliżem i utratą wiarygodności w przypadku awarii.

Kolejnym brakiem wyobraźni jest umożliwienie swobodnego wpinania przenośnych pamięci USB… zwłaszcza w przypadku firm bazujących na wcześniej wspomnianej „optymalizacji kosztów”. Jeśli uważasz to za skrajność, to wiedz, że nigdy nie masz pewności, czy przypadkiem ktoś nie wynosi plików z danymi, plików graficznych, zakupionych zdjęć, zdjęć dostarczonych przez klientów, szablonów, kluczy licencyjnych.

Być może powyższe uznasz za czarnowidztwo i brak zaufania, lecz odpowiedz sobie na pytanie: ile z powyższych punktów dotyczy Twojej firmy lub agencji, z którą współpracujesz? Co jakiś czas pojawiają się informacje o wypłynięciu danych z dużych firm. Tych małych nikt nie kontroluje lub bagatelizuje, dopóki nie stanie się to medialnym tematem.

Aby nie zostawiać Cię z luką, poniżej propozycja rozwiązania. Aspekty techniczne poruszę w osobnym artykule.

Jeśli jesteś klientem:

  • upewnij się, że zapisy umowy gwarantują bezpieczeństwo Twoich danych. Zawsze możesz zawrzeć punkt, w którym firma musi Cię poinformować, gdy prace są podzlecane zewnętrznej firmie, udostępnić ci informacje o niej oraz dostarczyć oświadczenia o poufności danych od pracowników tej firmy.
  • Jeśli przekazujesz newralgiczne dane takie, jak dostępy do panelu administracyjnego, serwera FTP i baz danych, samodzielnie lub z pomocą administratora, utwórz osobne konta.
  • Jeżeli newralgiczne dane przesyłasz przez e-mail, nigdy nie zawieraj ich w treści wiadomości. Praktycznie każdy program z pakietu biurowego umożliwia zaszyfrowanie dokumentu hasłem. Umieść w nim wszystko, co chcesz przesłać, zaszyfruj, a następnie hasło prześlij wiadomością SMS do osoby odpowiedzialnej przed Tobą za realizację zlecenia.
  • Niektóre agencje dysponują systemami CRM, z dostępem dla klienta, w których możesz samodzielnie wprowadzić dane oraz monitorować, kto i kiedy z nich korzystał. Zapytaj czy taki system Twój zleceniobiorca posiada. Jeśli nie, zastosuj się do punktu wyżej.

Jeśli pracujesz/prowadzisz agencję:

  • Jeśli nie robisz kopii zapasowych… to zacznij. Możesz poczekać do następnego artykułu lub skontaktować się z firmą zajmującą się wdrażaniem rozwiązań bezpieczeństwa danych.
  • Ogranicz ilość osób dysponujących danymi klientów do niezbędnego minimum.
  • Ogranicz liczbę urządzeń przenośnych, na których przechowywane są dane klientów do niezbędnego minimum.
  • Jeżeli „optymalizujesz koszty”:
    • upewnij się, że stażyści nie pracują bezpośrednio z danymi klienta,
    • ogranicz uprawnienia ich stacji roboczych w zakresie korzystania z pamięci zewnętrznych. Niezbędne pliki do pracy mogą otrzymać za pośrednictwem lokalnej sieci. Jeśli jej nie masz – zamknij swoją działalność.
  • Upewnij się, że hasła do kont klientów i własnych nie są zapisywane w przeglądarce.
  • Wszystkie hasła przechowuj w oprogramowaniu umożliwiającym ich skuteczne zabezpieczenie przed włamaniem lub kradzieżą. Na rynku jest dużo rozwiązań darmowych, jednakże polecam płatne oprogramowanie.

* Artykuł powstał na bazie osobistych doświadczeń autora we współpracy z agencjami w charakterze podwykonawcy oraz bezpośredniego kontaktu z klientami.

 

Previous Wyprani z kontekstu
Next Reklama we krwi skąpana