LexDigital

Czy wiesz, kto ma dane klientów? Kontrola dostępu do danych w firmie

W dobie cyfryzacji dane klientów są najcenniejszym aktywem Twojej firmy. Ale czy na pewno wiesz, kto ma do nich dostęp? Niekontrolowane uprawnienia, odejścia pracowników i wewnętrzne zaniedbania stanowią poważne ryzyko wycieku, nadużyć i kosztownych kar RODO. Sprawdź nasz przewodnik i dowiedz się, jak zabezpieczyć swoją organizację!

Czy wiesz, kto ma dane klientów? Kontrola dostępu do danych w firmie

Szybkie pytanie na początek:

Skąd wiadomo, że system kontroli dostępu funkcjonuje wadliwie?

Jeśli w Twojej organizacji:

  • użytkownik biurowy w pierwszym dniu pracy dostaje szerokie, nadmierne uprawnienia administratorskie do zasobów,
  • pracownicy logują się na konta nieobecnych w pracy pracowników,
  • uprawnienia są nadawane bez możliwości późniejszej weryfikacji, kto wydał na nie zgodę
  • po odejściu z pracy pracownika jego konta do zasobów pozostają aktywne
  • pracownicy zapisują hasła, bo nie mogą ich zapamiętać,

lub mają miejsce podobne sytuacje, to system kontroli dostępu prawdopodobnie nie działa prawidłowo. Dlaczego to ważne? Kontrolowanie tego, kto w określonym czasie ma dostęp do zasobów, jest kluczowe do ochrony organizacji przed incydentami i cyberprzestępcami.


Alarmujące statystyki

Osób, którym zależy na zapewnieniu ograniczenia dostępu do zasobów jest w zasadzie garstka. Natomiast osób zainteresowanych dostępem do nich mogą być tysiące, setki tysięcy, a czasami miliony.

Według danych ESET w pierwszej połowie 2025 roku Polska znalazła się na pierwszym miejscu w świecie pod względem liczby wykrytych ataków ransomware, wyprzedzając w tym zakresie nawet Stany Zjednoczone. Zespół reagowania na incydenty bezpieczeństwa komputerowego CERT Polska działający w strukturze NASK w 2024 roku odnotował rekordowy wzrost aktywności cyberprzestępców. Liczba zgłoszeń wyniosła 600 000, co stanowi wzrost rok do roku o średnio o około 62%. Od stycznia do sierpnia doszło do 946 incydentów bezpieczeństwa komputerowego w ochronie zdrowia. Obok takich incydentów jak wprowadzenie do systemu złośliwego oprogramowania czy wyłudzenie danych, dochodziło także właśnie do nieautoryzowanego dostępu do systemów.

Podstawowym celem kontroli dostępu jest zapewnienie, że tylko uprawnione osoby maja dostęp do zasobów.
Podstawowym celem kontroli dostępu jest zapewnienie, że tylko uprawnione osoby maja dostęp do zasobów.


Problem dotyczy także samorządów, które według NIK mają poważne problemy z cyberbezpieczeństwem w zakresie m.in identyfikacji zbiorów danych wymagających ochrony, zabezpieczenia fizycznego serwerowni czy złożoności haseł. 

Nie popełnij tych błędów przy szkoleniach RODO. Sprawdź nasz poradnik!

Czym jest kontrola dostępu?

W najprostszym ujęciu kontrola dostępu to zespół środków organizacyjnych i technicznych mających na celu ograniczenie kto, kiedy i w jakim zakresie może przetwarzać określone informacje i mieć do nich dostęp. 

Podstawowe pojęcia z tego zakresu to przede wszystkim:

  • identyfikacja, czyli posiadanie przez osobę, która chce mieć dostęp informacji identyfikujących (np. login)
  • uwierzytelnienie, czyli proces potwierdzenia tożsamości
  • autoryzacja, czyli proces weryfikacji, czy osoba logująca się może mieć dostęp do żądanego zasobu.
Bez sprawnej kontroli dostępu osoby niepowołane mają dostęp do danych firmy z dowolnego miejsca.
Bez sprawnej kontroli dostępu osoby niepowołane mają dostęp do danych firmy z dowolnego miejsca.


Jak w takim razie zbudować system kontroli dostępu?

Szczegółowych instrukcji dostarcza norma ISO 27001. Według kontrolki 5.15 należy ustanowić i wdrożyć system dostępu w oparciu o zasady dostępu fizycznego i logicznego i powiązanych z tym aktywów. Wymaga to określenia, co chcemy i musimy chronić, a to oczywiście wymaga rozpoznania aktywów organizacji. 

Oznacza to określenie:

  1. z jakiego powodu chcemy chronić dane informacje
  2. jak zabezpieczenia mają funkcjonować w odniesieniu do konkretnych aktywów
  3. jak chcemy chronić te aktywa.
Kontrola dostępu określa rzecz jasna także zasady fizycznego dostępu do budynków i pomieszczeń, np serwerowni.
Kontrola dostępu określa rzecz jasna także zasady fizycznego dostępu do budynków i pomieszczeń, np serwerowni.


System zapór

Kontrola dostępu to nic innego jak system równorzędnych zapór, występujących na różnych poziomach i w różnych sferach organizacji:

  • Zasada minimalnych uprawnień, według której dostęp przyznaje się tylko w sytuacji, kiedy dane uprawnienia są faktycznie niezbędne.
  • Rozdział krytycznych funkcji. Przykładowo: osoba, która zarządza kontami użytkowników nie powinna zatwierdzać dostępu ani używać kont do operacji produkcyjnych.
  • Szkolenia pracowników, zwłaszcza w zakresie ochrony przed socjotechniką 
  • Automatyzacja onboardingu, czyli powiązanie zdarzeń kadrowych ze zdarzeniami operacyjnymi (przyznanie lub odcięcie dostępu od zasobu w odpowiednim momencie)
  • Jeden centralny system tożsamości, czyli autorytatywne źródło informacji o użytkowniku, które ogranicza błędy ludzkie i rozproszenie kont.
  • Uwierzytelnianie wieloskładnikowe dla wszystkich zasobów wrażliwych
  • Zarządzanie dostępem uprzywilejowanym (Privileged Access Management – PAM), czyli system, w którym dostęp może być przyznawany w modelu “just in time”, tylko na czas trwania zadania, gdzie poszczególne sesje administratorów są dodatkowo rejestrowane. 
  • Wymuszona polityka kluczy kryptograficznych, chociażby poprzez szyfrowanie, a następnie zastosowanie kontroli dostępu do kluczy deszyfrujących.

Należy łączyć elementy obowiązkowej kontroli dostępu ( zautomatyzowanej) z kontrolą uznaniową, w zależności od tego, z jakimi zasobami mamy do czynienia. Można stosować takie macierze kontroli dostępu jak RBAC (Role-Based Access Control) czy ABAC (Attribute-Based Access Control), czyli organizować kontrolę dostępu wokół ról przypisanych do zasobów, a nie decyzji indywidualnych administratora. Wcześniej określone role zapobiegają nieuprawnionej eskalacji uprawnień.

Ważna jest też tak zwana głęboka ochrona fizyczna, czyli zestawienie wielu wzajemnie uzupełniających się barier w ten sposób, żeby zasoby krytyczne były lokowane w najgłębszej warstwie.

Prawidłowa konfiguracja centralnego systemu tożsamości ogranicza błędy ludzkie i rozproszenie kont.
Prawidłowa konfiguracja centralnego systemu tożsamości ogranicza błędy ludzkie i rozproszenie kont.


Prowadzisz małą firmę i potrzebujesz dokumentów RODO? Sprawdź nasze pakiety!

Kontrola dostępu - najczęstsze błędy

Reaktywne podejście, czyli implementacja rozwiązań bezpieczeństwa dopiero po wystąpieniu incydentu. Z oczywistych względów lepiej jest stosować systemowe podejście jak najwcześniej i zapobiegać sytuacjom kryzysowym, bo każda z nich może nieść ogromne ryzyko dla organizacji.

Brak oparcia o klasyfikację informacji, czyli traktowanie wszystkich zasobów jako wrażliwych czy krytycznych.

Ochrona obwodowa –  założenie, że wszystko, co wewnątrz sieci jest zaufane.

Oparcie wyłącznie na technologii bez uwzględnienia czynnika ludzkiego. Zmuszanie do używania zbyt wielu haseł i skomplikowanych tokenów może spowodować, że zniecierpliwieni ludzie będą omijać zabezpieczenia, aby ułatwić sobie życie.

Kontrola dostępu to także dbanie o odpowiednią długość i złożoność haseł.
Kontrola dostępu to także dbanie o odpowiednią długość i złożoność haseł.


Brak interakcji z działem HR tworzy ryzyko, że zasoby, które powinny być już zablokowane, są dalej są aktywne dla danego użytkownika. 

Brak automatyzacji opieranie całego systemu o działania ręczne sprawia, że czasami przeglądy uprawnień odbywają się tylko na papierze.

Brak płynnego zarządzania tożsamością i zautomatyzowanych procesów zarządzania kontami użytkowników. 

Brak logowania zdarzeń, na przykład brak wymogu logowania wszystkich prób dostępu, przez co nie ma możliwości odtworzenia zdarzeń.

UODO kontroluje niezależność IOD – sprawdź wytyczne i uniknij kar!

Podsumowanie

Planując zapewnienie kontroli dostępu należy pamiętać, że jest to proces złożony, który powinien być realizowany w ujęciu kompleksowym. Prawidłowe wdrożenie modelu zarządzania kontrolą dostępu musi łączyć ze sobą aspekty systemowe, organizacyjne, zarządzania personelem, technologiczne, prawne i biznesowe. Dobrze zaprojektowana i wdrożona kontrola dostępu stanowi najważniejszą barierę ochronną zasobów organizacji.

Nie zostawaj w tyle za konkurencją! Zdobądź nowych klientów dzięki inwestycji w bezpieczeństwo i wiarygodność Twojej firmy. UMÓW BEZPŁATNĄ KONSULTACJĘ

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Baza newslettera LexDigital

Baza newslettera LexDigital

Zapraszamy do zapoznania się z archiwalnymi wydaniami newslettera LexDigital. W środku znajdą Państwo bezpłatne, pogłębione analizy naszych ekspertów.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk