Techne sp. o.o.
Produkty

Kurs e-learningowy - Ochrona danych osobowych dla osób upoważnionych

O potrzebie szkolenia

RODO inaczej zwane GDPR obligują Administratora (Danych Osobowych) (ADO) do dołożenia staranności w zabezpieczaniu danych osobowych. Zgodnie z metodyką ADO powinien:

  1. określić co podlega ochronie (np. zbiory danych, nośniki, linie transmisyjne, dokumenty);
  2. oszacować ryzyka (np. kradzieży serwera czy danych, wyniesienia czy utraty danych);
  3. opracować politykę ochrony danych osobowych (obecnie np. politykę oraz instrukcje zarządzania systemem informatycznym);
  4. zapewnić rozwiązania techniczne dostosowane do wymagań technologicznych oraz wymagań bezpieczeństwa (np. zakupić serwery, firewall, wstawić odpowiednie zamki oraz drzwi);
  5. opracować rozwiązania organizacyjne dostosowane do potrzeb realizowanych procesów oraz odpowiadające na wyzwania wynikające z analizy ryzyka;
  6. przeszkolić personel;
  7. wdrożyć rozwiązanie;
  8. wykonać audyt skuteczności przyjętych rozwiązań;
  9. rozpocząć ten mini proces od początku...

Powszechnie wiadomo że w każdym procesie najsłabszym ogniwem są ludzie -  nawet najlepsze rozwiązania organizacyjne (3, 5) i techniczne (6) zależne są od zespołu, który się nimi w codziennej rzeczywistości posługuje. Szkolenie personelu (6, 7) jest absolutnie niezbędne dla sprawnego działania rozwiązania, którego przygotowanie bywa przecież bardzo kosztowne, ale konsekwencje utraty danych, w nowej rzeczywistości prawnej, mogą okazać się znacznie bardziej dotkliwe.

Wsparcie jakiego może udzielić Techne

Techne może pomóc w organizacji systemu ochrony danych osobowych (1-3, 6,8) i dostarcza rozwiązania informatyczne w tym zakresie. Panel ADO (jeden z modułów TechneSystem) pomaga ADO w organizacji systemu ochrony danych osobowych, Zaś kolejny moduł TechneSystem - Prowadzenie dydaktyki zdalnej - może pomóc w przeszkoleniu teoretycznym z dowolnej innej dziedziny. Potrzebny jest tylko odpowiedni kurs. Takim kursem jest Ochrona danych osobowych dla osób upoważnionych - produkt opracowany przez Techne we współpracy ze specjalistami z zakresu prawa ochrony danych osobowych, metodykami e-learningu oraz z Polskim Instytutem Kontroli Wewnętrznej.

Opis kursu

W zamyśle kurs składa się z dwóch bloków:

  • części ogólnej - jaką Klient otrzymuje "po wyjęciu z pudełka" oraz
  • części "dedykowanej" zawierającej opis polityki konkretnego ADO, która to część wykonywana na indywidualnie zamówienie Klienta.

 

Część ogólna stanowi podbudowę teoretyczną. Cześć dedykowana prezentuje osobom upoważnianym wewnętrzną politykę i procedury dotyczące ochrony danych.

 

W zamyśle kurs kierowany był do osób, które dopiero mają być przez ADO upoważnione - jest to warunek wstępny niezbędny do uzyskania przez pracownika upoważnienia. Kurs kończy się testem, którego zaliczenie pozwala pracownikowi na wydruk certyfikatu. A jeśli taka jest wola ADO może to być równocześnie gotowe upoważnienie do przetwarzania danych osobowych wraz ze wszelkimi niezbędnymi oświadczeniami.

W tym miejsce możemy - z oczywistych powodów - przedstawić wyłącznie opis bloku ogólnego. Należy podkreślić że blok ten jest systematycznie aktualizowany do obowiązujących wymogów prawnych. Blok ogólny, w lekkiej, bogato ilustrowanej przykładami postaci zawiera omówienie obowiązujących przepisów prawnych (Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. oraz  Ustawy z  dnia 10 maja 2018 r. o Ochronie Danych Osobowych) oraz podstawy bezpieczeństwa informatycznego.

Praktyka wykazała jednak, że wiele organizacji uznaje, że tak obszerna wiedza nie jest potrzebna osobie upoważnionej do przetwarzania - szeregowemu pracownikowi. Stąd kurs został rozbity na trzy wersje, o różnym zakresie treściowym, kierowany do różnych grup odbiorców.

nazwa opis dla kogo
Wersja pełna

Kurs wyjaśnia założenia RODO, prezentuje pojęcia podstawowe i szereg pojęć szczegółowych. Kurs stara się wykazać użyteczność poddania organizacji rygorom RODO. Sporo uwagi poświęcone jest kulturze bezpieczeństwa pracowników jako kluczowemu składnikowi bezpieczeństwa organizacji.

Kurs w sposób ogólny mówi o organizacji systemu ochrony danych prezentując prostą metodykę pozwalającą osiągnąć postawiony cel - wdrożenie RODO. Omawiane są również prawa osoby, której dane są przetwarzane i obowiązki wobec niej Administratora Danych. W wersji pełnej znajduje się moduł omawiający obowiązku wobec organu nadzorczego.

Tematyka ujmowana jest z perspektywy różnych aktorów powiązanych z bezpieczeństwem ochrony danych.

 

Pierwotna, pełna wersja kursu.

 

119 składowych, czas potrzebny do ukończenia 4-8 godzin

  • właściciele,
  • zaangażowani w ochronę danych osobowych członkowie kierownictwa,
  • osoby zajmujące się organizacją systemu ochrony danych,
  • pracownicy działów bezpieczeństwa,
  • audytorzy i kontrolerzy wewnętrzni, 
  • IOD,
  • osoby zainteresowane problematyką ochrony danych osobowych
Wersja podstawowa

Kurs wyjaśnia założenia RODO, prezentuje pojęcia podstawowe. Kurs stara się wykazać użyteczność poddania organizacji rygorom RODO. Sporo uwagi poświęcone jest kulturze bezpieczeństwa pracowników jako kluczowemu składnikowi bezpieczeństwa organizacji. Kurs w sposób ogólny mówi o organizacji systemu ochrony danych prezentując prostą metodykę pozwalającą osiągnąć postawiony cel - wdrożenie RODO.

Omawiane są również prawa osoby, której dane są przetwarzane i obowiązki wobec niej Administratora Danych. W wersji podstawowej obowiązki wobec organu nadzorczego ograniczone są do zagadnień obsługi ewentualnej kontroli.

Tematyka ujmowana jest z perspektywy różnych aktorów powiązanych z bezpieczeństwem ochrony danych.

 

Z wersji pełnej usunięty został materiał wykazywany przez Klientów jako zbędny dla osób NIE zajmujących się ewentualnymi kontaktami z organami kontrolnymi i nie podejmujących decyzji w zakresie organizacji systemu ochrony danych osobowych.

 

82 składowe, czas potrzebny do ukończenia około 3-6 godzin

  • kierownicy jednostek, w których przetwarzanie danych osobowych jest znaczącą składową działalności,  
  • zaangażowani w ochronę danych osobowych pracownicy.

 

 

Wersja minimum

Kurs koncentruje się na przedstawieniu podstawowych pojęć i stara się uczulić uczestników na przestrzeganie podstawowych zasad ochrony danych osobowych.

 

Skrócona wersja podstawowa. Materiały zostały ograniczone tak aby przekazać osobie upoważnionej do przetwarzania danych osobowych  informacje niezbędne do  pracy z danymi osobowymi.

Z materiałów usunięte zostały części kładące nacisk na budowę osobistej kultury ochrony danych kursanta.

 

61 składowych, czas potrzebny do ukończenia ok 2-4 godziny

  • pracownicy i
  • współpracownicy organizacji upoważnieni do przetwarzania danych osobowych

 

Wersja pełna składa się z 119 artykułów (lekcji) zawierających teksty, grafiki i prezentacje pogrupowane w moduły. Nie można przeskoczyć modułu bez jego zaliczenia. Zawsze można przerwać naukę i wrócić w to samo miejsce.

Większość artykułów ma część główną (traktowaną jako obowiązkową) oraz dodatki pogłębiające rozumienie (traktowane jako materiały nieobowiązkowe - wyróżnione kolorowym tłem). W dodatkach znajdują się przede wszystkim Rozporządzenie i Ustawa wraz motywami, ale znajdziemy tam zarówno komentarze prawnicze i lżejsze formy jak np. cytaty z forów dyskusyjnych.

Aby ożywić narrację oraz ułatwić zapamiętanie materiału w zasadniczym tekście znajdują się, krótkie wstawki narracyjne tworzące mniej lub bardziej powiązane "wątki sceniczne".

Każdy artykuł można spersonalizować - opatrzyć własną notatką oraz (lub) kolorowym znacznikiem (gwiazdka, znak zapytania itp).

Moduły kursu bloku ogólnego to:

moduł wersja minimum wersja podstawowa wersja pełna

Wstęp

+ + +

Dane osobowe

skrócone skrócone +
Bezpieczeństwo informacji i danych skrócone skrócone +
Główni aktorzy RODO skrócone + +
Zasady przetwarzania danych osobowych skrócone + +
Prawa osoby, której dane są przetwarzane - + +
Obowiązki ADO skrócone + +
Obowiązki ADO wobec siebie skrócone skrócone +
Obowiązki ADO wobec osoby, której dane są przetwarzane skrócone skrócone +
Obowiązki ADO wobec organu nadzorczego - - +
Odpowiedzialność za naruszenie RODO skrócone skrócone +
Pojęcia szczegółowe - - +
Wybrane zagadnienia bezpieczeństwa danych w systemach informatycznych skrócone + +
Test końcowy + + +

 

 

Tytuły artykułów merytorycznych w poszczególnych modułach:

moduł wersja minimum wersja podstawowa wersja pełna

Wstęp

Organizacja szkolenia, O kursie, Sens i znaczenie ochrony danych osobowych, Akty prawne Organizacja szkolenia, O kursie, Sens i znaczenie ochrony danych osobowych, Akty prawne Organizacja szkolenia, O kursie, Sens i znaczenie ochrony danych osobowych, Akty prawne

Dane osobowe

 Dane osobowe - rozumienie; Szczególne kategorie danych; Karalność - bardzo szczególna kategoria danych; Przetwarzanie danych Dane osobowe - rozumienie; Dane osobowe a zakres stosowania RODO; Szczególne kategorie danych; Karalność - bardzo szczególna kategoria danych; Przetwarzanie danych Klęska zdrowego rozsądku;  Dane osobowe w rozumieniu prawnym; Istotne niuanse związane z definicją; Dane osobowe a zakres stosowania RODO; Dane nie tylko osobowe a informacja; Szczególne kategorie danych; Karalność - bardzo szczególna kategoria danych; Przetwarzanie danych
Bezpieczeństwo informacji i danych Bezpieczeństwo informacji i jego zagrożenia Bezpieczeństwo informacji i jego zagrożenia Bezpieczeństwo; Kultura bezpieczeństwa; Bezpieczeństwo informacji i jego zagrożenia; Jak zabezpieczyć dane?
Główni aktorzy RODO  My i Administrator Danych Osobowych; Organ nadzorczy; Kontrola organu nadzorczego; IOD Administrator (Danych Osobowych); Podmiot, którego dane są przetwarzane; Organ nadzorczy; Kontrola organu nadzorczego; IOD Administrator (Danych Osobowych); Podmiot, którego dane są przetwarzane; Organ nadzorczy
Zasady przetwarzania danych osobowych ADO musi mieć zasady; ADO ma cel i ma to konsekwencje; ADO ma cel prawomocny - przesłanki legalizujące; ADO przetwarza bezpiecznie prawidłowe dane; ADO działa legalnie i transparentnie Porozmawiajmy o zasadach; ADO ma cel i ma to konsekwencje; ADO ma cel prawomocny - przesłanki legalizujące; ADO przetwarza bezpiecznie prawidłowe dane;
ADO działa legalnie i transparentnie; ADO ma dowody
Porozmawiajmy o zasadach; ADO ma cel i ma to konsekwencje; ADO ma cel prawomocny - przesłanki legalizujące; ADO przetwarza bezpiecznie prawidłowe dane; ADO działa legalnie i transparentnie; ADO ma dowody
Prawa osoby, której dane są przetwarzane - Mam prawo wiedzieć; Mam prawo decydować; Mam prawo poprawiać; Mam prawo do wsparcia; Mam prawo do odszkodowania; Mam prawo wiedzieć; Mam prawo decydować; Mam prawo poprawiać; Mam prawo do wsparcia; Mam prawo do odszkodowania;
Obowiązki ADO skrócone Ogólnie o obowiązkach ADO art 24 ust 1; Ogólnie o obowiązkach ADO art 24 ust 1;
Obowiązki ADO wobec siebie Podmioty, którym powierzono dane do przetwarzania; Jakość danych; Rejestry Administratora (Danych Osobowych)  Cele przetwarzania; Podmioty, którym powierzono dane do przetwarzania; Jakość danych; Ochrona danych; Rejestry Administratora (Danych Osobowych) Ustanowienie procesu zarządzania ochroną danych osobowych; IOD; Cele przetwarzania; Współadministratorzy; Przedstawiciel; Podmioty, którym powierzono dane do przetwarzania; Upoważnienia; Jakość danych; Ochrona danych; Rejestry Administratora (Danych Osobowych);
Obowiązki ADO wobec osoby, której dane są przetwarzane Protokół dyplomatyczny; Obowiązek informacyjny; Obowiązek sprostowania; Obowiązki ograniczające nasze prawa do przetwarzania Protokół dyplomatyczny; Obowiązek informacyjny; Obowiązek udostępniania danych; Obowiązek sprostowania; Obowiązki ograniczające nasze prawa do przetwarzania; Obowiązek eksportu i importu danych do formatu interoperacyjnego; Obowiązek powiadamiania Ocena skutków; Protokół dyplomatyczny; Obowiązek informacyjny; Obowiązek udostępniania danych; Obowiązek sprostowania; Obowiązki ograniczające nasze prawa do przetwarzania; Obowiązek eksportu i importu danych do formatu interoperacyjnego; Obowiązek powiadamiania;
Obowiązki ADO wobec organu nadzorczego - - Pozyskanie pozwolenia na przetwarzanie; Uprzednie konsultacje oceny skutków; Zgłoszenie naruszenia; Rejestr czynności przetwarzania; Rejestr wszystkich kategorii przetwarzania;
Odpowiedzialność za naruszenie RODO Obszary odpowiedzialności; Odpowiedzialność osoby upoważnionej do przetwarzania; Odpowiedzialność karna Obszary odpowiedzialności; Odpowiedzialność osoby upoważnionej do przetwarzania; Odpowiedzialność karna Obszary odpowiedzialności; Odpowiedzialność Administratora (Danych Osobowych; Odpowiedzialność osoby upoważnionej do przetwarzania; Odpowiedzialność karna
Pojęcia szczegółowe - - Anonimizacja; Inspektor Ochrony Danych; Kodeksy postępowania i certyfikacja; Kontrola organu nadzorczego; Powierzenie danych do przetwarzania
Profilowanie; Przekazywanie danych do państw trzecich; Pseudonimizacja; Szyfrowanie; Treści użytkownika; Zbiór danych;
Zgoda na przetwarzanie
Wybrane zagadnienia bezpieczeństwa danych w systemach informatycznych Bezpieczeństwo danych i dlaczego mnie to dotyczy; Konta i hasła w systemie informatycznym; Rozpoczynanie i zakańczanie pracy w systemie informatycznym; Zasada ograniczonego zaufania; Postępowanie w przypadku wystąpienia incydentu Bezpieczeństwo danych i dlaczego mnie to dotyczy; Konta i hasła w systemie informatycznym; Obszary bezpieczeństwa; Rozpoczynanie i zakańczanie pracy w systemie informatycznym; Zasada ograniczonego zaufania; Kopie zapasowe; Postępowanie w przypadku wystąpienia incydentu;

Bezpieczeństwo danych i dlaczego mnie to dotyczy;

Konta i hasła w systemie informatycznym; Obszary bezpieczeństwa; Rozpoczynanie i zakańczanie pracy w systemie informatycznym;
Zasada ograniczonego zaufania; Kopie zapasowe; Postępowanie w przypadku wystąpienia incydentu

Test końcowy + + +

 

 

Klienci i odbiorcy

Kurs kierowany jest - zgodnie z nazwą - dla osób upoważnionych, ale również do osób, które właśnie zaczynają pracę czyli dopiero mają zostać upoważnione - są to oczywiście naturalni odbiorcy kursu.

Wszystkim polecamy wersje pełną - pozwala ona na całościowe ujęcie omawianej problematyki. Dedykowane

Klientem są podmioty gospodarcze i instytucje, które zgodnie z RODO są Administratorami (Danych Osobowych), ale również osoby prywatne (konsumenci) zainteresowani tą problematyką.

Formy udostępnienia kursu

Klient ma kilka możliwości udostępnienia kursu swoim pracownikom. Staraliśmy się je zestawić z podsumowaniem ich zalet i wad.

Lokalizacja / Zakres Blok ogólny Blog ogólny i blok dedykowany
rodo.cafe, kurs standardowy w wybranej wersji

Najtańsza opcja, udostępniamy klientowi określoną ilość kodów umożliwiających dostęp do kursu, zaświadczenie o ukończeniu kursu jest standardowe. Dane przechowywane są w chmurze dedykowanej klientom firmy Techne.

-
rodo.cafe, kurs dedykowany w wybranej wersji

Jak wyżej, ale Klient zyskuje możliwość samodzielnego kontrolowania postępów swoich pracowników oraz możliwość dostosowania przykładów do realiów konkretnego ADO, Jest możliwe dostosowanie zaśẉiadczenia o ukończeniu kursu do potrzeb konkretnego ADO.

Jak przy bloku ogólnym a dodatkowo moduły odnoszące się wyłącznie potrzebom Klienta.
Dedykowane Klientowi platforma w zasobach Techne

Dane przechowywane są w prywatnej chmurze klienta przechowywanej w infrastrukturze firmy Techne. Możliwe jest skorzystanie z mechanizmów autoryzacji jakimi dysponuje Klient. Do jego dyspozycji są wszystkie moduły TechneSystem - z tego żyjemy. W wersji minimum Klient otrzymuje panel ADO.

Klient zyskuje możliwość samodzielnego kontrolowania postępów swoich pracowników oraz możliwość dostosowania przykładów do realiów konkretnego ADO, Jest możliwe dostosowanie zaśẉiadczenia o ukończeniu kursu do potrzeb konkretnego ADO. Dodatkowo możliwe jest zarządzanie kontami na platformie, w szczególności zbieranie oświadczeń woli pracowników

Jak przy bloku ogólnym dodatkowo moduły odnoszące się wyłącznie potrzebom Klienta. 
Platforma w zasobach Klienta Platforma instalowana jest w infrastrukturze Klienta. Techne prowadzi serwis zdalny platformy. Inne opcje jak powyżej. Jak przy bloku ogólnym dodatkowo moduły odnoszące się wyłącznie potrzebom Klienta. 

 

Pobierz ulotkę informacyjną na temat kursu RODO (pdf)

 

 Przykładowa lekcja

Z początkowymi lekcjami, stylem pracy z kursem można zapoznać się na na naszej platformie demonstracyjnej, poniżej  prezentujemy przykładowy artykuł.

 


Wybrane zagadnienia bezpieczeństwa danych w systemach informatycznych

Bezpieczeństwo danych i dlaczego mnie to dotyczy 

Niniejszy moduł nie jest poradnikiem jak zabezpieczyć system informatyczny. Tematyka koncentruje  się przede wszystkim na zachowaniach użytkowników mogących podnieść lub obniżyć bezpieczeństwo danych w systemie informatycznym. Staraliśmy się tak dobrać treści, aby były one użyteczne dla użytkowników również w ich życiu prywatnym wykazując - mamy nadzieję - że bezpieczeństwo naszych danych w systemach informatycznych przekłada się wprost na nasze osobiste bezpieczeństwo.

Bezpieczeństwo danych

Posiłkując się określeniami z Ustawy i Rozporządzenia można pokusić się o zdefiniowanie bezpieczeństwa w systemie informatycznym jako stanu, w którym dane w są poufne oraz integralne. W systemach przetwarzających dane osobowe zgodnie z Ustawą należałoby jeszcze uwzględnić rozliczalność działań użytkowników.

O ile poufność danych jest raczej cechą ewidentną - chodzi o to aby dostęp do nich miały osoby upoważnione, to integralność może wymagać dodatkowych wyjaśnień.

Integralność w tej definicji oznacza dokładność i kompletność informacji oraz metod jej przetwarzania. To pewność, że dane nie zostały zmienione czy usunięte w niekontrolowany sposób, czy to przez użytkowników (świadoma lub przypadkowa), czy przez osoby obce czy też przez oprogramowanie (błędy aplikacji lub działalność szkodliwego kodu - wirusy, trojany itd.) czy też na skutek awarii lub wadliwego działania sprzętu.

Zaznaczmy jednak,  że bezpieczeństwo w systemie informatycznym to stan pożądany, to cel do osiągnięcia. Nie powinno się mówić o nim jako o stanie osiągniętym, a raczej o procesie stałego jego osiągania.

Powtórzmy: bezpieczeństwo jest jak łańcuch, którego wytrzymałość zależy od najsłabszego ogniwa.

Jak pamiętamy z Ustawy, Instrukcja zarządzania systemami informatycznymi jest częścią dokumentacji, którą zobowiązany jest przygotować i wdrożyć każdy Administrator Danych Osobowych. Powinny znajdować się w niej zagadnienia związane z bezpieczeństwem danych (w szczególności danych osobowych) w systemach informatycznych. W niniejszym module nie będziemy jednak odnosić się do żadnej konkretnej instrukcji zarządzania systemem informatycznym. Skoncentrujemy się na zagadnieniach, które mogą pomóc w zrozumieniu dowolnej instrukcji zarządzania a może nawet opracować własną, prywatną politykę bezpieczeństwa.

Czy to mnie dotyczy?

Zanim przejdziemy dalej odpowiedzmy sobie na powtarzające się w tym szkoleniu pytanie: na ile prezentowane zagadnienie dotyczy mnie osobiście? Czy jako "obywatel" internetu powinienem być zainteresowany bezpieczeństwem systemu, bezpieczeństwem danych? I co w takim przypadku jest systemem informatycznym? Czy granicą jest mój komputer, moja sieć czy też praktycznie nie ma żadnej granicy?

Powszechne staje się przechowywanie naszych osobistych danych w internecie. Systemy oferują wygodne rozwiązania, gdzie kluczem do naszego życia osobistego i zawodowego stają się nazwy kont oraz hasła. Od listy kontaktów w naszych telefonach, poprzez historię naszej korespondencji, po zawartość naszych kont bankowych - nasz ślad elektroniczny staje się coraz wyraźniejszy i coraz trwalszy.

Intruz zdobywający dostęp do naszych danych uzyskuje dostęp:

  1. do naszych (i o nas) mniej lub bardziej ważnych informacji - bez znaczenia: prywatnych czy służbowych;
  2. do naszej elektronicznej tożsamości - w skrajnym wypadku możemy stracić pracę czy nawet wylądować w więzieniu;
  3. do naszego portfela - bez znaczenia mniej lub bardziej zasobnego.

Warto zainteresować się własnym bezpieczeństwem. Warto zdać sobie sprawę, że wykorzystanie usług internetowych przesuwa granice naszego bezpieczeństwa na obszary, nad którymi nie możemy bezpośrednio zapanować.

 


maskiczb.png

[...]

Niektórzy ludzie wstają rano z łóżka, by odbębniać powtarzalne czynności w przysłowiowym kieracie. Ja miałem to szczęście, że zawsze lubiłem swoją pracę. Najwięcej wyzwań, sukcesów i zadowolenia przyniosła mi praca prywatnego detektywa. Szlifowałem tam swoje umiejętności w sztuce zwanej socjotechniką - skłanianiem ludzi do tego, by robili rzeczy, których zwykle nie robi się dla nieznajomych.

[...]

Wynajął mnie człowiek, który pisał książkę o gabinecie prezydenta w czasach Nixona i szukał informatora, który dostarczyłby mu mniej znanych faktów na temat Williama E. Simona, będącego Sekretarzem Skarbu w rządzie Nixona. Pan Simon zmarł, ale autor znał nazwisko kobiety, która dla niego pracowała. Był prawie pewny, że mieszka ona w Waszyngtonie, ale nie potrafił zdobyć jej adresu. Nie miała również telefonu, a przynajmniej nie było go w książce. Tak więc, kiedy zadzwonił do mnie, powiedziałem mu, że to żaden problem.

Jest to robota, którą można załatwić zwykle jednym lub dwoma telefonami, jeżeli zrobi się to z głową. Od każdego lokalnego przedsiębiorstwa użyteczności publicznej raczej łatwo wyciągnąć informacje. Oczywiście trzeba trochę nakłamać, ale w końcu czym jest jedno małe niewinne kłamstwo?

Lubię stosować za każdym razem inne podejście — wtedy jest ciekawiej. „Tu mówi ten-a-ten z biura dyrekcji” zawsze nieźle działało. Albo „mam kogoś na linii z biura wiceprezesa X”, które zadziałało też tym razem.

Trzeba wyrobić w sobie pewnego rodzaju instynkt socjotechnika. Wyczuwać chęć współpracy w osobie po drugiej stronie. Tym razem poszczęściło mi się — trafiłem na przyjazną i pomocną panią. Jeden telefon wystarczył, aby uzyskać adres i numer telefonu. Misja została wykonana.

[...]

Można powiedzieć, że istnieją dwie specjalizacje w zawodzie artysty-manipulatora. Ktoś, kto wyłudza od ludzi pieniądze, to pospolity oszust. Z kolei ktoś, kto stosuje manipulację i perswazję wobec firm, zwykle w celu uzyskania informacji, to socjotechnik.

[...]

Zeznając nie tak dawno temu przed Kongresem, wyjaśniłem, że często uzyskiwałem hasła i inne poufne informacje od firm, podając się za kogoś innego i po prostu o nie prosząc.

[...]

Dlaczego? Ponieważ to czynnik ludzki jest piętą achillesową systemów bezpieczeństwa.[...]

Wielu zawodowców z branży IT ma błędne mniemanie, że w dużym stopniu uodpornili swoje firmy na ataki poprzez zastosowanie standardowych produktów typu firewall, systemów detekcji intruzów i zaawansowanych rozwiązań uwierzytelniających, takich jak kody zależne od czasu lub karty biometryczne. Każdy, kto uważa, że same produkty zabezpieczające zapewniają realne bezpieczeństwo, tworzy jego iluzję.

[...]

Jak ujmuje to znany konsultant ds. bezpieczeństwa, Bruce Schneider: Bezpieczeństwo to nie produkt to proces. Rozwińmy tę myśl: bezpieczeństwo nie jest problemem technologicznym, tylko problemem związanym z ludźmi i zarządzaniem.

W miarę wymyślania coraz to nowych technologii zabezpieczających, utrudniających znalezienie technicznych luk w systemie, napastnicy będą zwracać się w stronę ludzkich słabości. Złamanie „ludzkiej” bariery jest o wiele prostsze i często wymaga jedynie inwestycji rzędu kosztu rozmowy telefonicznej, nie mówiąc już o mniejszym ryzyku.

[...]

Penetracja systemu bezpieczeństwa firmy często zaczyna się od zdobycia informacji lub dokumentu, który wydaje się nie mieć znaczenia, jest powszechnie dostępny i niezbyt ważny. Większość ludzi wewnątrz organizacji nie widzi więc powodów, dla których miałby być chroniony lub zastrzeżony.

[...]

Niektóre z opisanych tu historii mogą sugerować, że uważam pracowników firm za kompletnych idiotów, gotowych, a nawet chętnych, do wyjawienia każdego sekretu. Socjotechnik zdaje sobie sprawę, że to nieprawda. Dlaczego więc ataki socjotechników są takie skuteczne? Na pewno nie dlatego, że ludzie są głupi bądź pozbawieni zdrowego rozsądku. Jesteśmy tylko ludźmi — każdego z nas można oszukać. Pod wpływem pewnego rodzaju manipulacji możemy mogą źle ulokować nasze zaufanie.

Socjotechnik z góry zakłada, że napotka podejrzliwość lub opór, i jest zawsze przygotowany na przełamywanie barier nieufności. Dobry socjotechnik planuje swój atak niemal jak partię szachów, przewidując pytania, jakie ofiara może zadać, i przygotowując stosowne odpowiedzi.

[...]

Jak pokazuje wiele z opisanych tu zdarzeń, dobry socjotechnik często wybiera sobie jako ofiarę osobę o niskiej pozycji w hierarchii firmy. Łatwo jest manipulować takimi ludźmi i wyciągać od nich z pozoru błahe informacje, które przybliżają napastnika o krok do informacji poufnych.

Atakujący mierzy w osoby na niskich stanowiskach, ponieważ są one przeważnie nieświadome wagi pewnych informacji i konsekwencji różnego rodzaju działań. Poza tym są bardziej podatne na uleganie metodom socjotechnicznym — dzwoniący dysponuje autorytetem, wydaje się kimś miłym i przyjaznym, sprawia wrażenie, że zna różnych ludzi w firmie, rzecz, o którą prosi, jest bardzo pilna, a ofiara zakłada, że zdobędzie uznanie lub czyjąś wdzięczność.

"Sztuka Podstępu" Kevin Mitnick, przekład Jarosław Dobrzański

Wydawnictwo Helion, 2003