Odpowiedzią Regtech
Tym terminem określa się rozwiązania wykorzystujące technologie informatyczne w celu spełnienia wymagań regulacyjnych (od ang. regulatory technology). Ich wykorzystanie może się okazać szczególnie przydatne w kontekście wymogów unijnej dyrektywy o ochronie sygnalistów, zwłaszcza tam, gdzie tradycyjny system whistleblowingowy może zawodzić.
Informacja zwrotna a anonimowość
Aplikacje dostępne online generują unikalny identyfikator zgłoszenia, z pomocą którego anonimowy sygnalista może sprawdzić status sprawy, a także utrzymać kontakt z osobami weryfikującymi zgłoszenie.
Zarządzanie procesem obsługi zgłoszenia
Narzędzie IT może generować przypomnienia ułatwiając dotrzymywanie wymaganych terminów. Może także odnotowywać podjęte działania, dokumentując tym samym należytą staranność podczas weryfikacji zgłoszenia. Wreszcie, może pomóc ograniczyć do minimum wiedzę o zgłoszeniu w organizacji. Fundamentalnie sprzyja to zachowaniu poufności.
Najważniejsze (cyber)bezpieczeństwo
W przypadku systemów informatycznych nieodzowną pozostaje kwestia bezpieczeństwa. Według Światowego Badania Uczciwości w Biznesie[1] opublikowanego przez EY w 2022r., 27% respondentów wskazuje cyberbezpieczeństwo jako źródło najistotniejszego zagrożenia podczas nabywania / przejmowania innych organizacji, współpracy z nimi lub inwestowania w nie. Badanie EY objęło również kwestie ochrony danych osobowych, które w ostatnich latach są przedmiotem znaczących zmian legislacyjnych. 67% respondentów w Polsce (i 61% globalnie) zgadza się z twierdzeniem, że obecnie obowiązujące przepisy w zakresie ochrony i poufności danych są korzystne dla biznesu. Jednocześnie 38% respondentów w Polsce (i 33% globalnie) uważa, że stanowią one barierę dla osiągnięcia sukcesu w biznesie.
Upowszechnienie wykorzystywania Internetu w trakcie pandemii zwiększyło też presję wywieraną na działy cyberbezpieczeństwa. 58% respondentów z Polski deklaruje, że ich firmy prowadzą szkolenia związane z RODO, a 50%, że szkolą pracowników na wypadek ewentualnego wycieku danych. Jednak tylko 32% polskich firm (41% globalnie) posiada plan reagowania w przypadku faktycznego wycieku danych. Dodatkowo, jak wynikało z Globalnego Badania Bezpieczeństwa Informacji EY 2021[2], 56% respondentów stwierdziło, że wiele spółek szło na skróty w zakresie cyberbezpieczeństwa, aby ułatwić zdalną i elastyczną pracę w czasie pandemii.
Informacje o możliwych naruszeniach, bez wątpienia, należą do poufnych, a ich ujawnienie zwykle nie leży w interesie firmy. Nie można pominąć tego założenia decydując się na wdrożenie rozwiązania zaprojektowanego dla sygnalistów. Podobnie nie można zapomnieć, że informacje powinny być szyfrowane i przechowywane na bezpiecznych serwerach. Aby spełniać wymagania dotyczące ochrony danych osobowych, przedmiotowe serwery musza być zlokalizowane na terytorium Europejskiego Obszaru Gospodarczego.
Utrata danych w wyniku prowadzonych cyberataków to nie jedyne zagrożenie, na które narażone są firmy. Narzędzia dostępne za pośrednictwem stron lub aplikacji internetowych (aktualnie w ten sposób tworzy się rozwiązania dla sygnalistów) powinny być m.in. zabezpieczone przed atakami typu XSS (od ang. cross-site scripting) czy DDoS (od ang. Distributed Denial of Service). XSS polega na wprowadzeniu do treści atakowanej strony (np. poprzez formularz zgłaszania nieprawidłowości) kodu przechwytującego dane użytkownika lub zainstalowanie prowadzącej niepożądane działania aplikacji. DDoS powoduje niedostępność usługi poprzez zajęcie wszystkich wolnych zasobów.
Podsumowanie
Te dwa przykłady nie wyczerpują oczywiście listy zagrożeń, choć skutecznie ilustrują problemy, z jakimi firmy mogą się borykać. Mając to na uwadze, warto wybierać właściwie zabezpieczone i stale uaktualniane rozwiązania. W obszarze cyberbezpieczeństwa ryzyko jest pochodną kreatywności hakerów, stąd nie da się go definitywnie wyeliminować. Owszem, ryzyko cyberataku zawsze istnieje, ale powierzenie wdrożenia efektywnych rozwiązań sprawdzonym dostawcom pozwala mu skutecznie przeciwdziałać.
