Ich habe festgestellt, dass ein Mitarbeiter, der nicht mehr bei uns ist, eine riesige Excel-Datei mit HR-Informationen in Slack hochgeladen hat. Die Datei ist für jeden in unserem Slack verfügbar und enthält die Namen aller aktuellen und ehemaligen Mitarbeiter, ihre Kontaktdaten, vollständige Namen, die Aktienoptionen haben, Jahresurlaubsansprüche, HR-Verlauf und verschiedene Notizen über sie, aber nicht die Vergütungsdetails. Die Datei ist irgendwie da und kann in der Suche gefunden werden, ist aber an keine Nachricht angehängt oder in einen Kanal gepostet (nicht sicher, wie das funktioniert).
Soll ich das unserem CTO mitteilen? Niemand sollte diese Informationen wirklich finden können, und wir haben sogar einige Anbieter, Praktikanten und Teilzeitkräfte in unserem Slack, die sie wahrscheinlich finden können.
Andererseits habe ich keine plausible Erklärung dafür, wie ich diese Datei gefunden habe (ja, ich habe an einem Wochenende in unserem Slack herumgestöbert, um zu sehen, was ich finden kann). Ich denke auch, dass, was immer ich in Zukunft sage, die Leute es mit dem Gedanken „Oh, dieser Typ hatte Zugang zu unseren Arbeitsunterlagen“ im Hinterkopf hören werden.
Mit anderen Worten, ich verliere nichts, wenn ich es nicht melde, und ich könnte etwas verlieren, wenn ich es tue. Wir scheinen keine Methode zu haben, um Dinge anonym zu melden.
Außerdem sind wir ein ziemlich kleines Unternehmen (weniger als 200 Mitarbeiter), daher haben wir diesbezüglich keine offiziell veröffentlichten Richtlinien.
Verstecken Sie Ihre Identität nicht, es hat keinen Sinn. Wenn Ihr Unternehmen Slack fragt, kann Slack ihnen wahrscheinlich mitteilen, wer auf diese Datei zugegriffen hat. Steht sowieso alles in den Logs. Es geht nur darum, dass jemand sie durchliest. Ich persönlich verstehe nicht einmal Ihr Bedürfnis, Ihre Identität zu verbergen. Du hast nichts falsch gemacht.
In jedem Fall sind Sie besser derjenige, der auf die Datei zugegriffen und den Verstoß gemeldet hat, als derjenige, der auf die Datei zugegriffen, aber nichts gemeldet hat.
Je nachdem, wo sich Ihr Unternehmen befindet, gibt es einige Datenschutzregeln und -gesetze, die den Schutz personenbezogener Daten vorschreiben können.
Abgesehen davon könnten Informationen wie die von Ihnen aufgelisteten einem potenziellen Konkurrenten dabei helfen, wirtschaftliche Angebote zu erstellen, um Mitarbeiter dazu zu bringen, das Unternehmen zu verlassen.
Ich denke, Sie sollten das Leck melden, und wenn Sie besorgt sind, Ihren Namen aus dieser Geschichte herauszuhalten, gibt es Möglichkeiten, dies zu tun (ein Dummy-E-Mail-Konto, eine nicht signierte Papierpost usw.).
Leider geben Sie nicht an, was Ihre Gerichtsbarkeit ist, also werde ich auf der Grundlage meiner Gerichtsbarkeit antworten.
In meiner Gerichtsbarkeit muss jedes Unternehmen ab einer bestimmten Größe einen designierten Datenschutzbeauftragten haben. (Wenn mehr als 10 Mitarbeiter routinemäßig PII elektronisch verarbeiten.) Dieser DPO muss in der Lage sein, direkt an den CEO zu berichten, und seine Unabhängigkeit muss gewährleistet sein. Beispielsweise können sie nicht entlassen oder gerügt werden, weil sie die Behörden über Datenschutzverletzungen im Unternehmen informiert haben.
Sie sollten dies unverzüglich Ihrem Datenschutzbeauftragten melden. Sie können dies anonym tun (auch hier ist der DSB vor jeder Rüge geschützt, weil er seine Quelle nicht preisgegeben hat).
Ihr Unternehmen wiederum ist gesetzlich verpflichtet, dies innerhalb von 72 Stunden seinem jeweiligen DPO zu melden, normalerweise einem Regierungs- oder Strafverfolgungsbeamten, andernfalls riskieren sie hohe Bußgelder.
Hier geht es nur um die PII-Daten, über die Sie gesprochen haben. In Bezug auf die durchgesickerten Finanzdaten können auch andere Gesetze und Regeln verletzt werden.
Ich verliere nichts, wenn ich es nicht melde, und ich könnte etwas verlieren, wenn ich es tue
…aber später tut es jemand anderes. Wenn nach dem Bericht eine Prüfung erfolgt, wird Ihr Name möglicherweise in einer Liste mit Personen aufgeführt, die die Datei heruntergeladen haben. Daher können Fragen dazu auftauchen, was Sie mit der Datei gemacht haben, als Sie sie heruntergeladen haben, und warum Sie sie nicht gemeldet haben.
Natürlich ist es nicht so ernst, es sei denn, es gibt Beweise dafür, dass Sie Daten aus dieser Datei verwendet haben, und wenn Sie die Datei nur einmal angefasst haben, können Sie sich etwas ausdenken wie „Ich habe versehentlich auf die falsche Datei geklickt und sie entfernt, ohne sie zu lesen, als ich es bemerkte mein Fehler".
Aber warum eine Lüge erfinden, wenn Sie etwas tun können, was von Ihnen erwartet wird, das heißt, es sofort melden?
Denken Sie so darüber nach.
Wenn es IHRE Daten wären, was würden Sie gerne tun, wenn jemand wüsste, dass IHRE Daten durchgesickert sind?
Ich habe festgestellt, dass ein Mitarbeiter, der nicht mehr bei uns ist, eine riesige Excel-Datei mit HR-Informationen in Slack hochgeladen hat. Die Datei ist für jeden in unserem Slack verfügbar und enthält die Namen aller aktuellen und ehemaligen Mitarbeiter, ihre Kontaktdaten, vollständige Namen, die Aktienoptionen haben, Jahresurlaubsansprüche, HR-Verlauf und verschiedene Notizen über sie, aber nicht die Vergütungsdetails. Die Datei ist irgendwie da und kann in der Suche gefunden werden, ist aber an keine Nachricht angehängt oder in einen Kanal gepostet (nicht sicher, wie das funktioniert).
Soll ich das unserem CTO mitteilen?
In den Branchen, in denen ich gearbeitet habe, fallen Aktienoptionen unter die Vergütung von Führungskräften, und die Vergütung von Führungskräften wird als Daten mit hohem Wert eingestuft.
Die hochwertige Klassifizierung umfasst Fusionen und Übernahmen, anhängige Rechtsstreitigkeiten, Vorstandsvergütungen, Unternehmensleistungsberichte wie unveröffentlichte SEC-Einreichungen usw.
Mitarbeiterdaten werden normalerweise als Daten mit mittlerem oder niedrigem Wert klassifiziert. Die Daten umfassen Name, Adresse, Telefonnummer, Sozialversicherungsnummer usw.
Und um eine Wendung hinzuzufügen, verschlüsselt Slack die Daten möglicherweise so, dass nur Ihr Unternehmen sie entschlüsseln kann, sodass es möglicherweise überhaupt kein externes Leck gibt. (Ich kenne Slack nicht und habe keine Sicherheitsbewertung durchgeführt, daher kann ich nicht sagen, was es tut).
Unternehmen kümmern sich sehr darum, wenn wertvolle Daten verloren gehen oder durchsickern, weil dies dem Unternehmen möglicherweise finanziell und rufschädigend schaden könnte, insbesondere in regulierten Umgebungen wie dem US-Finanzwesen. In den USA kümmert es Unternehmen nicht so sehr, wenn Sozialversicherungsnummern oder Bankkontonummern durchgesickert sind, da mit einem Verlust nur ein geringes Risiko verbunden ist. Sogar der Verlust von Gesundheitsdaten ist ein Witz, weil HIPPA regulatorischen Maßnahmen künstlich kleine Grenzen setzt.
Ich weiß nicht, was in Asien, der EU oder anderen Ländern und Regionen passiert.
Und denken Sie daran, dass in den USA das Risiko demokratisiert wird, indem Verluste an die Aktionäre weitergegeben werden, und die Belohnung durch Prämien für Führungskräfte privatisiert wird. Die meisten Datenverluste wirken sich nicht wesentlich auf das Unternehmen oder die Führungskräfte aus. Sie haben das Risiko auf Aktionäre, Abonnenten und Verbraucher abgewälzt, deren Daten verloren gehen.
Ich habe keine plausible Erklärung dafür, wie ich diese Datei gefunden habe (ja, ich habe an einem Wochenende in unserem Slack herumgestöbert, um zu sehen, was ich finden kann)
Es spielt keine Rolle. Du hast es [hoffentlich] vor einem schlechten Schauspieler gefunden. Ich bezweifle, dass dir irgendjemand die Schuld dafür geben wird.
Außerdem sind wir ein ziemlich kleines Unternehmen (weniger als 200 Mitarbeiter), daher haben wir diesbezüglich keine offiziell veröffentlichten Richtlinien.
Ja, das ist ziemlich typisch für kleine Unternehmen und Firmen.
Es ist eine Lücke in den Richtlinien und Verfahren Ihres Unternehmens, und die Führungskräfte müssen sich damit befassen. Bis die Führungskräfte entscheiden, sich darum zu kümmern, können Sie den Vorfall am besten dem CISO, CTO oder einem anderen Management melden.
Bei Interesse, bei US Financial, arbeitete ich als Sicherheitsarchitekt im Risikobereich. Ich war verantwortlich für die Bewertung interner Systeme und Anbietersysteme (und Anbietervorschläge).
Wir haben drei oder vier Dinge getan:
Manchmal weigerte sich ein Anbieter, ein System in Übereinstimmung mit den Richtlinien und Verfahren des Unternehmens zu bringen. In diesem Fall könnte die Führungskraft, die die Initiative fördert, sagen : "Ist mir egal, ich will es trotzdem" . Wenn die Führungskraft das gesagt hat, dann wurden das System und seine Sicherheitsbewertung an einen Risikoausschuss geschickt, um eine detaillierte Kosten-Nutzen-Analyse durchzuführen und festzustellen, ob die Firma meine Entscheidung außer Kraft setzen sollte. Das letzte Wort hatte der Risikoausschuss.
Die Projekte, die mir am meisten zu schaffen machten, waren die „Board Pad“ -Apps, wie ich sie nannte. Alle Führungskräfte wollten papierlos arbeiten und Unternehmensangelegenheiten für Vorstandssitzungen auf ihre iPads übertragen. Und da sie Führungskräfte waren, wollten sie natürlich Fusionen und Übernahmen, anhängige Rechtsstreitigkeiten, Vorstandsvergütungen und Unternehmensleistungsberichte mit sich herumtragen. Alles mit einem 4-stelligen PIN-Code geschützt, da der Entwickler die Authentifizierung von Apple für ausreichend hielt. Seufzen...
Soll ich das unserem CTO mitteilen?
Sie sollten es jemandem im Management sagen, sei es der CTO, Ihr direkter Vorgesetzter oder jemand anderes.
Andererseits habe ich keine plausible Erklärung dafür, wie ich diese Datei gefunden habe (ja, ich habe an einem Wochenende in unserem Slack herumgestöbert, um zu sehen, was ich finden kann). Ich denke auch, dass, was immer ich in Zukunft sage, die Leute es mit dem Gedanken „Oh, dieser Typ hatte Zugang zu unseren Arbeitsunterlagen“ im Hinterkopf hören werden.
Es spielt wirklich keine Rolle, wie Sie es gefunden haben, und ich sehe keinen Sinn darin, die Tatsache offenzulegen, dass Sie es gefunden haben, während Sie herumgestochert haben. Wenn dies in Ihrem Unternehmen Slack war, wurde es nicht ausreichend gesichert oder überwacht. Wenn es in Ihrem Unternehmen Slack andere Dinge dieser Art gibt und Sie in Slack darüber „gestolpert“ sind, dann liegt der Mangel in der Implementierung, nicht darin, dass Sie sie gefunden haben. Ich verstehe nicht, warum Sie denken, dass eine Offenlegung negative Auswirkungen auf Sie haben würde.
Mit anderen Worten, ich verliere nichts, wenn ich es nicht melde, und ich könnte etwas verlieren, wenn ich es tue. Wir scheinen keine Methode zu haben, um Dinge anonym zu melden.
Auch hier verstehe ich nicht, warum Sie Angst haben, dies offenzulegen. Du hast nichts falsch gemacht. Sie haben Informationen entdeckt, die nicht weitergegeben werden sollten. Das ist nicht deine Schuld. Es sei denn, Sie erzählen uns nicht die ganze Geschichte. Wenn Sie tatsächlich Ihr Firmen-Slack (ein gesicherter Kanal für die Personalabteilung oder ähnliches) "gehackt" haben, sollten Sie einige Auswirkungen befürchten.
Außerdem sind wir ein ziemlich kleines Unternehmen (weniger als 200 Mitarbeiter), daher haben wir diesbezüglich keine offiziell veröffentlichten Richtlinien.
Es spielt keine Rolle, wie groß oder klein Ihr Unternehmen ist oder ob Sie bestimmte Richtlinien bezüglich dieser Art von Informationen haben oder nicht. Wenn diese Informationen in den Geltungsbereich von Datenschutzgesetzen fallen, kann dies ein Verstoß gegen diese Gesetze sein.
Mit anderen Worten, ich verliere nichts, wenn ich es nicht melde, und ich könnte etwas verlieren, wenn ich es tue.
Sie sollten auf jeden Fall erwägen, sich anonym an die betroffenen Personen (CTO, HR) zu melden. Auf Slack ist es möglich, eine Nachricht zu löschen. Wenn diese Informationen an die richtigen Personen gelangen, können sie den Poster bitten, sie zu löschen. (Nicht sicher, ob der Slack-Administrator auch das Recht hat, Nachrichten zu löschen/maskieren).
Wir scheinen keine Methode zu haben, um Dinge anonym zu melden.
In der heutigen Zeit der Abhängigkeit von digitalen Geräten und Diensten vergessen wir völlig die Einfachheit früherer Zeiten. Schreiben Sie einfach anonyme Schneckenpost an die betroffenen Personen :) Schreiben Sie es nicht von Hand, tippen Sie es und lassen Sie es drucken, um jeden Versuch der Handschrifterkennung zu maskieren. Es hat sogar den Vorteil, dass eine digitale Nachricht im Lärm untergehen kann , aber eine Schneckenpost ist ein sicherer Weg, um Aufmerksamkeit zu erregen, da es immer seltener wird, eine zu erhalten.
On the other hand, I don't have a plausible explanation for how I found this file (yeah, I was poking around our Slack on a weekend to see what I can find). I also think that whatever I say in the future, people will hear it with the thought "oh, this guy had access to our employment records" at the back of their head.Nur um die Angst einzudämmen, die OP hat. Vielleicht hat es nach OPs Wahrnehmung mit der Unternehmenskultur zu tun.Angesichts dieser Informationen wird sich niemand darum kümmern, dass Sie in Slack herumstöbern; Wenn die Sysadmins ihren Job gemacht haben, dann wäre es kein Grund zur Sorge, wenn Sie hier herumstöbern, da Ihnen der Zugriff auf alles verweigert werden sollte, das sozusagen nicht in Ihrer Domäne war.
Wenn überhaupt, wird es für Sie schlimmer aussehen, wenn Sie es nicht melden, da es die Möglichkeit erhöht, dass Sie versucht haben, die Informationen zu Ihrem eigenen Vorteil auszunutzen. Zumindest wird es Fragen aufwerfen, warum Sie auf diese Datei zugegriffen haben, ohne Alarm auszulösen. Mit anderen Worten, Sie werden nicht länger wie ein unschuldiger Zuschauer aussehen.
Ein weiterer zu berücksichtigender Punkt, den ich mit einer Geschichte über eine sehr ähnliche Situation ansprechen werde, in der ich mich bei einem früheren Arbeitgeber befand.
Ich habe in unserem Netzwerk nach etwas gesucht (das nichts mit dem zu tun hatte, was ich gefunden habe), indem ich in der Befehlszeile mit einem regulären Ausdruck gesucht habe. Ich erinnere mich nicht einmal, wonach ich gesucht hatte, aber ich fand eine Datei, die irgendwie mit der Regex übereinstimmte, die eine Tabelle war, die alle Gehaltssätze des Unternehmens sowie deren Gebührensätze enthielt (was das Unternehmen den Kunden für unsere Zeit in Rechnung stellte). und andere Daten, die wahrscheinlich nicht weitergegeben werden.
Das waren sehr interessante Daten, aber ich fühlte mich schuldig, dass ich die Datei gefunden und gelesen hatte. Das Problem war, dass es einfach nicht so viele Leute im Unternehmen gab, die die Datei hätten finden können (durch Suchen), aber es war nicht so, als wäre sie durch ACLs oder irgendetwas anderes geschützt, sie war einfach da draußen in einem gemeinsam genutzten Netzwerk Laufwerk ohne besonderen Schutz (nicht einmal schreibgeschützt oder passwortgeschützt).
Ich überlegte eine Weile, ob ich es meinem Vorgesetzten sagen sollte, weil ich nicht wollte, dass sie dachten, ich würde herumschnüffeln, aber am Ende erzählte ich ihm davon. Sein Gesichtsausdruck, als ich ihm die Datei zeigte, war beeindruckend, er hatte offensichtlich keine Ahnung, dass solche Informationen für jeden mit Zugriff auf diese Freigabe (jeder im Unternehmen) frei verfügbar waren. Ich fühlte mich besser dabei, es ihm zu sagen (obwohl er mich einige Monate später zusammen mit einem Haufen anderer Leute entlassen würde, aber ich glaube nicht, dass sie verwandt sind). Ich bot an, unserer IT-Abteilung zu helfen, die Lücke zu schließen, die ich gefunden hatte, aber ich hörte nie wieder etwas von ihnen.
So vergingen ein oder zwei weitere Monate, und mir wurde klar, dass die Datei, die ich gefunden hatte, nicht im Geringsten einzigartig war (ich wusste, wie ihr Dateiname lautete, und als ich später eine ähnliche Datei sah, erkannte ich, was es war War). Sie haben genau dieselbe Datei in jedes Jobverzeichnis aufgenommen, es gab buchstäblich Tausende von Kopien derselben Datei. Meine Qual war reine Zeitverschwendung, die Dateien waren nicht nur völlig ungeschützt, sie waren überall, manchmal mehrere Kopien im selben Jobverzeichnis.
Der Punkt ist, dass diese riesige Tabelle, die hochgeladen wurde, viele, viele, viele Geschwister haben kann, die Ihnen nicht bekannt sind, und es könnte Ihre Zeit nicht wert sein, dies zu melden.
Ich befürworte nicht, dass Sie es ignorieren, aber bedenken Sie, dass an der Geschichte mehr dran sein könnte, als Sie wissen.
Es gibt viele großartige Antworten, die Ihnen bereits sagen, dass Sie diese unzulässige Datenweitergabe melden sollen, und ich stimme von ganzem Herzen zu . Sie scheinen sich Sorgen um die richtige Datensicherheit zu machen, was großartig ist, da jeder in einem Unternehmen eine Rolle bei der Sicherheit von Unternehmenswerten zu spielen hat. Ich bin mir Ihrer Rolle im Unternehmen oder seiner Kultur nicht sicher, aber wenn Ihr Management (dh: CISO, CTO usw.) an Feedback interessiert ist, sollte meine Antwort auf diese Frage hilfreich sein.
Schlagen Sie Ihr Unternehmensdokument vor, genehmigen Sie es und teilen Sie es allen Endbenutzern, die Zugriff auf Unternehmensdaten haben , mit, wie diese Daten zu schützen sind. Um zukünftige Szenarien wie das, in dem Sie sich befinden, abzumildern, sollte es Methoden geben, mit denen Mitarbeiter Sicherheitsvorfälle melden können, und eine unsachgemäße Offenlegung wäre sicherlich ein Vorfall.
Außerdem scheint der Zugriff nicht richtig überwacht zu werden. Ich verstehe, dass Ihr Unternehmen klein ist, aber die Zugriffsverwaltung wird immer wichtiger, wenn Ihr Unternehmen wächst. Eine ausgezeichnete Praxis wäre das Prinzip des am wenigsten privilegierten Zugriffs , damit Mitarbeiter / Lieferanten / Praktikanten, die Zugriff benötigen, um ihre Arbeit zu erledigen, Zugriff haben.
200 Mitarbeiter ist groß genug, dass ich ziemlich schockiert bin, dass es keine Richtlinie gibt. Mein letzter Arbeitgeber war ein gemeinnütziger Berufsverband mit etwa 50 Mitarbeitern und ich stand vor einer ähnlichen Situation. Keine Richtlinien, keine Best Practices, nichts dokumentiert, keine Konsistenz. Jeder, der uns angreifen wollte, hätte dies wahrscheinlich ohne Widerstand tun können.
Ich übernahm die Verantwortung und begann mit der Ausarbeitung von Richtlinien, die ich meinem Chef, dem Vizepräsidenten der IT, mitteilte. Technisch gesehen wurde ich eingestellt, um mich auf die Verwaltung der Unternehmenswebsite zu konzentrieren, aber am Ende habe ich fast alles in der IT-Abteilung gemacht. Die Leute waren sehr schockiert darüber, wie anfällig unsere Systeme waren, und hatten viele der Risiken nie in Betracht gezogen. Niemand hat mich jemals gefragt, warum ich so viel über das Thema weiß, aber mein Chef wollte immer Antworten hören. Unser Systemadministrator setzte Überwachungstools auf unserem E-Mail-Server ein, um die Übertragung von personenbezogenen Daten zu erkennen und zu blockieren, und es hat uns mindestens einen Vorfall erspart, bei dem eine Mitarbeiterin versuchte, sich alle Zahlungsdaten per E-Mail zuzusenden, damit sie die Gehaltsabrechnung von zu Hause aus bearbeiten konnte.
Dies ist eine Gelegenheit für Sie, die Verantwortung zu übernehmen und eine Führungsrolle zu übernehmen, wenn Sie dies wünschen. Ich verstehe Ihre Besorgnis; Ich war in Unternehmen, die trotz unserer „agilen“ Prozesse davon getrieben wurden, Verantwortung abzulenken und anderen die Schuld zu geben. Ich wählte sehr sorgfältig aus, wem ich Bericht erstattete, und ging schließlich über meinen direkten Vorgesetzten hinaus, weil er sich wirklich nur um Probleme kümmerte, die in keiner Weise zu ihm zurückkamen, und ich Stunden damit verbringen musste, die Dinge im Detail zu erklären, damit er versuchen konnte, sich selbst zu steuern Sicherheit. Wenn Sie sich in einem Umfeld befinden, in dem Sie befürchten, dass Sie dafür bestraft werden, das Richtige zu tun und das Unternehmen zu verbessern, befinden Sie sich nicht an einem gesunden Arbeitsplatz und sollten erwägen, bald zu gehen.
Ich würde Ihr Mitarbeiterhandbuch auf alles Relevante überprüfen, eine schriftliche Erklärung vorbereiten und das Problem diskret mit einem Vorgesetzten Ihres Vertrauens besprechen.
Mlle Mei
Agent_L
PCARR
AdzzzDE
AJFaraday