Europejski Fundusz Leasingowy S.A.

Wyzwanie: Wdrożenie kompleksowego programu zwiększania bezpieczeństwa danych klientów Grupy EFL wraz ze zwiększeniem świadomości pracowników na temat ochrony danych i bezpieczeństwa informacji. W wyniku przeprowadzonej analizy ryzyka ochrony danych zidentyfikowano dwa główne wyzwania dotyczące bezpieczeństwa danych klientów Grupy EFL:

  • niska świadomość pracowników na temat zagrożeń związanych z korzystaniem  z Internetu
  • celowe i niecelowe wycieki informacji/danych klientów.

Pracownicy są celem ataku hackerów, którzy wykorzystują ich działania w Internecie w celu kradzieży informacji lub poprzez swoje działania przyczyniają się do wycieku lub kradzieży danych. Ponadto będąc w bezpośrednim kontakcie z systemami informatycznymi, pracownicy mogą wykrywać usterki powstałe w wyniku ataku. Przeprowadzone testy socjotechniczne pokazały bardzo dużą podatność użytkowników na mechanizmy socjotechniczne, ataki typu phishing, spam. Podczas testów „przejętych” zostało ok. 20% unikalnych kont, w tym konta administratorów, co pokazuje niską świadomość zagrożeń wynikających z korzystania z Internetu i poczty elektronicznej. Oprócz czynnika ludzkiego zidentyfikowane zostały obszary wymagające zwiększenia kontroli oraz wzmocnienia bezpieczeństwa danych znajdujących się na komputerach osobistych i przenośnych nośnikach danych. Założone efekty działań miały doprowadzić do zminimalizowania ryzyka wycieku danych oraz zbudować świadomość zagrożeń wynikających z pracy w cyfrowym świecie także w życiu prywatnym.

Rozwiązanie: W ramach zidentyfikowanych wyzwań związanych z bezpieczeństwem danych uruchomiono kompleksowy program zwiększenia bezpieczeństwa w Grupie EFL obejmujący obszary awareness, wzmocnienia bezpieczeństwa systemów produkcyjnych, zarządzania incydentami bezpieczeństwa, bezpieczeństwa danych w chmurze, ochrony danych cyfrowych. Wśród zrealizowanych inicjatyw podnoszących bezpieczeństwo danych oraz wzmacniających świadomość pracowników na temat zagrożeń wynikających z pracy w cyfrowym świecie można wyróżnić m.in.:

  • kampania uświadamiająca na temat podstawowych zasad bezpieczeństwa, obejmująca mailing, artykuły w gazecie firmowej, plakaty, plansze TV i systemy wideokonferencyjne wygaszacze ekranu
  • dedykowana kampania dla kadry zarządzającej
  • wdrożenie obowiązkowego szkolenia e-learning z bezpieczeństwa informacji blok poświęcony bezpieczeństwu informacji w ramach szkolenia powitalnego „Witaj w EFL” dedykowane szkolenie dla programistów na temat procesu bezpiecznego wytwarzania oprogramowania
  • przygotowanie broszury ABC bezpieczeństwa dla wszystkich pracowników, zawierającej najważniejsze informacje związane z bezpieczeństwem oraz dobre praktyki przeprowadzenie szkoleń na zewnątrz firmy dla członków rodzin pracowników pod tytułem „Bezpieczni w sieci”
  • systematyczna weryfikacja poziomu świadomości dotyczącej bezpieczeństwa informacji poprzez przeprowadzanie cyklicznych testów socjotechnicznych instrukcje bezpieczeństwa dla zespołów wsparcia technicznego
  • wdrożenie narzędzi chroniących przed wyciekiem danych firmowych i danych klientów
  • system Data Leak Protection oraz blokada portów USB – wdrożenie platformy do ochrony stacji użytkowników chroniącej przed złośliwym oprogramowaniem (antymalware) – zabezpieczenie urządzeń końcowych poprzez wdrożenie szyfrowania dysków twardych.

Efekty: Efektem wdrożenia kompleksowego programu zwiększania bezpieczeństwa danych klientów Grupy EFL było usprawnienie warstwy technologicznej i procesowej oraz edukacja użytkownika końcowego na temat zagrożeń płynących ze świata cyfrowego. Przeprowadzone działania pozwoliły na osiągnięcie założonego poziomu potencjalnych infekcji stacji roboczych na poziomie <1% w realizowanych testach socjotechnicznych. Znacznie wzrosła liczba zgłoszeń kierowanych do zespołów bezpieczeństwa w celu weryfikacji potencjalnie niebezpiecznych wiadomości e-mail i załączników co również przełożyło się na spadek ilości uruchamianych zainfekowanych dokumentów wykrywanych przez systemy antywirusowe oraz wdrożoną platformę do ochrony stacji użytkowników. Dodatkowe inicjatywy skierowane do kadry zarządzającej przyczyniły się do jeszcze większego jej zaangażowania w aspekty bezpieczeństwa oraz pozytywny odbiór realizowanych działań wśród kadry specjalistycznej. Wszystkie realizowane działania podnoszące świadomość spotkały się z bardzo dobrym przyjęciem wśród pracowników oraz ich rodzin, podkreślano użyteczność przekazywanej wiedzy i jej zastosowanie w życiu codziennym, czego dowodem są przeprowadzane ankiety. Wdrożenie systemu DLP (Data Leak Protection) oraz zwiększenie bezpieczeństwa urządzeń końcowych, pozwoliło na skuteczne blokady wycieku danych. Dodatkowym efektem realizacji programu jest zmiana w postrzeganiu zespołów bezpieczeństwa, traktowanych przez pracowników jako specjalistyczne zespoły doradcze.