Problemy związane z ochroną danych finansowo-księgowych będą w przyszłości nabierały na znaczeniu. Coraz więcej dokumentów tworzonych jest w formie elektronicznej, a liczba przestępstw cyfrowych wzrasta z roku na rok. Jak zatem uchronić dane przedsiębiorstwa? Jakie procedury wdrożyć i kto odpowiada za bezpieczeństwo danych w firmie? W końcu, czy audytorzy mają tu rolę do odegrania? O tym rozmawiali uczestnicy panelu „Bezpieczeństwo danych i formy ich zabezpieczenia”. Moderatorem dyskusji była Agnieszka Gajewska, prezes RO KIBR w warszawie.

Bogusława Pilc, dyrektor Departamentu Inspekcji w Biurze Generalnego Inspektora Ochrony Danych Osobowych, mówiła o nowych obowiązkach w związku z ochroną danych osobowych
Biegli rewidenci muszą zabezpieczyć dane klientów
Biegli rewidenci jako podmioty przetwarzający dane osobowe swoich klientów także podlegają pod prawo ochrony danych osobowych – przypomniała Bogusława Pilc, dyrektor Departamentu Inspekcji w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Dlatego powinni zabezpieczyć się przed wyciekiem danych. Także tych na urządzeniach mobilnych. Zgodnie z przepisami, które wejdą w życie 25 maja 2018 roku na administratorach danych osobowych – a więc także na biegłych rewidentach – spoczywać będzie obowiązek inwentaryzacji danych i ich rejestracji. – Trzeba zastanowić się, jakie mamy dane, jak je przetwarzamy i czy robimy to w sposób bezpieczny – mówiła Bogusława Pilc. I dodała, że choć nie ma wskazania, jakie środki organizacyjne maja być zastosowane, to muszą być one skuteczne. – W tym kontekście warto zastanowić się, czy wszystkie dane, które pobieramy od klienta są nam potrzebne – mówiła.
Coraz więcej ataków na dane finansowo-księgowe
Zabezpieczenie danych finansowo-księgowych jest o tyle istotne, że śledczy obserwują liniowy wzrost przestępstw związanych z kradzieżą czy przejęciem danych cyfrowych. – W 2013 roku było 1500 takich przypadków, w 2014 już 2150 – mówił Radosław Chinalski, Naczelnik Wydziału Informatyki KWP. Najczęściej firmy padają ofiarą złośliwego oprogramowania. – Przestępca wysyła na adres mailowy firmy lub jej pracownika maila zawierającego link lub załącznik, którego otwarcie powoduje zainstalowanie złośliwego oprogramowania na komputerze ofiary – wyjaśnia mechanizm działania przestępców Chinalski. Oprogramowanie następnie szyfruje dane na serwerze ofiary. Zwrot dostępu do danych możliwy jest dopiero po opłaceniu kwoty wskazanej przez wyłudzającego. – Takie maile mają cechę wspólną, mają wyglądać jak wiadomość od zaufanej instytucji, np. Poczty Polskiej, banku czy firmy kurierskiej – wyjaśnia Chinalski.

Mariusz Kalita, dyplomowany informatyk śledczy, przypomniał, że atak hakera to nie jedyne zagrożenie dla bezpieczeństwa danych
Atak nie zawsze musi być z zewnątrz
Ale, jak zaznaczali uczestnicy panelu, zabezpieczyć należy się przed różnymi typami zagrożeń. Zagrożeniem dla bezpieczeństwa danych może być bowiem atak hakerski, ale może nim być także pożar w firmie czy działanie pracowników – to nieuprawnione ale też spowodowane niedopatrzeniem ze strony pracownika. – Zdarza się, że pracownik został podkupiony przez konkurencję a odchodząc z pracy zabrał także dane firmowe – mówił Mariusz Kalita, dyplomowany informatyk śledczy. Ale może być też tak, że pracownik korzysta z komputera czy telefonu służbowego dla celów prywatnych i naraża tym samym dane firmowe na niebezpieczeństwo.

Za bezpieczeństwo systemu informatycznego nie odpowiada wyłącznie informatyk – mówił Dariusz Gromadka, ekspert z zakresu wykrywania cyberprzestępczości oraz nadużyć telekomunikacyjnych
Jak chronić dane?
Jak zatem uchronić dane przedsiębiorstwa? Radosław Chinalski podpowiada, że zawsze warto robić kopię zapasową dokumentów i trzymać ją w bezpiecznym, niepołączonym z siecią miejscu. Drugą istotną kwestią jest też świadomość istniejących zagrożeń. Zdaniem Dariusza Gromadki, eksperta z zakresu wykrywania cyberprzestępczości oraz nadużyć telekomunikacyjnych, firmy powinny zadbać o politykę bezpieczeństwa danych i systemów informatycznych. Zastrzega przy tym, że za politykę tę odpowiada nie tylko informatyk w firmie ale także każdy pracownik, bo – jak stwierdził – czynnik ludzki, to najsłabszy element w systemie informatycznym. Mariusz Kalita z kolei rekomenduje przeprowadzenie audytu informatycznego w firmie. W trakcie takiego audytu sprawdzane jest, czy system informatyczny jest wiarygodny. – Bardzo często w firmach, które nie miały audytu odpowiadano nam, że wdrożenie systemu zostało zakończone nadaniem certyfikatu zgodności – mówił Kalita i dodał, że w takiej sytuacji przedsiębiorca nie może być pewien czy faktycznie ten system spełnia wszystkie wymogi. Jego zdaniem audyt informatyczny da wiedzę, o tym jakie są zagrożenia i ryzyka, jaki jest stan zabezpieczenia w firmie, wskaże procedury i zarekomenduje ich stosowanie, wskaże narzędzia możliwe do zastosowanie w organizacji oraz metodologie postępowania w sytuacji zagrożenia.
Uświadomić klienta
Czy biegły rewident oprócz ochrony swoich danych powinien też wspierać w tym swojego klienta? Zdaniem ekspertów w panelu audytor może zwrócić uwagę klienta podczas badania na konieczność ochrony danych firmowych. – Warto spytać, czy jest w firmie prowadzona polityka bezpieczeństwa, kto jest za nią odpowiedzialny oraz czy polityka bezpieczeństwa jest stosowana, jak jest stosowana i jak jest egzekwowana – wymienia Kalita. Zdaniem Chinalskiego warto sprawdzić czy w firmie są wdrożone i stosowne uregulowania i procedury. – To chociażby procedura dotycząca kontroli dostępu do informacji, czy procedura tworzenia kopii zapasowych, kto jest za to odpowiedzialny w firmie a kto ma do nich dostęp – zdaniem Chinalskiego warto o to spytać klienta. – Jeśli firma będzie miała takie procedury, to sygnał że chociaż myśli, że takie zagrożenie jest możliwe – dodaje.

Andrzej Karpiak, członek KRBR, pytał, kto w rzeczywistości rządzi dziś firmą – czy to zawsze jest zarząd? Czy raczej administrator systemów informatycznych…
Przyszłość danych finansowych
Zdaniem Andrzeja Karpiaka, członka Krajowej Rady Biegłych Rewidentów, problemy związane z ochroną danych cyfrowych będą w przyszłości nabierały na znaczeniu, bo coraz więcej dokumentów tworzonych jest w formie elektronicznej. – Następuje wirtualizacja dokumentacji księgowej, mamy coraz mniej do czynienia z dokumentami papierowymi – mówił i przypomniał, że wprowadzony niedawno Jednolity Plik Kontrolny to kolejny krok ku cyfryzacji danych, który przyspieszy jeszcze trend do wirtualizacji dokumentacji. W tym kontekście ciekawe wydaje się pytanie Andrzeja Karpiaka o to, kto w rzeczywistości rządzi dziś firmą – czy to zawsze jest zarząd? Czy raczej administrator systemów informatycznych…