Neziskovky nejsou pro kyberútočníky nezajímavý cíl. Právě naopak. Zpracováváte osobní údaje dárců, klientů a dobrovolníků, pracujete s citlivými projekty a vaše IT zabezpečení je typicky slabší než u komerčních organizací. To z vás dělá snadný cíl.
Přitom GDPR se vás týká úplně stejně jako firem. Pokud dojde k úniku dat dárců nebo klientů, odpovědnost neziskového charakteru organizace nezmírní.
Dobrá zpráva: řada bezpečnostních nástrojů nabízí neziskovkám speciální podmínky nebo slevy. A základní ochrana je dostupná i s minimálním rozpočtem.
Kde jsou neziskovky zranitelné
Neziskovky mají specifická rizika, která se liší od běžných firem. Nestačí zkopírovat firemní bezpečnostní manuál, je potřeba řešit věci, které jsou pro neziskový sektor typické.
Dobrovolníci přicházejí a odcházejí. Pokud nemáte systém správy přístupů, bývalí dobrovolníci si přístup k účtům a datům ponechávají i po odchodu. To je kritická díra.
"Heslo k Facebooku je v té tabulce na Google Drive." Sdílená hesla jsou v neziskovkách běžná, protože nikdo neřešil alternativu. Přitom jde o jeden z největších bezpečnostních problémů vůbec.
Emailová komunikace s dárci, exporty z fundraisingových platforem, smlouvy s partnery. Pokud to všechno leží v osobním Gmailu zakladatele, je to GDPR problém i bezpečnostní problém.
Granty, projektové zprávy, smlouvy s donory. Pokud jsou uloženy jen v jednom místě a dojde k útoku nebo technické závadě, jsou nenávratně ztraceny.
1. Password manager pro celý tým
Priorita: nejvyšší. Čas na nastavení: 1 hodina.
Toto je nejdůležitější změna, kterou můžete udělat. Password manager vyřeší sdílená hesla, přístup dobrovolníků a problém s odchodem lidí najednou.
NordPass Business nebo Proton Pass for Business. Oba nabízejí speciální podmínky pro neziskovky na vyžádání.
Složka "Sociální sítě" pro komunikační tým, složka "Finance" jen pro vedení, složka "Projekty" pro projektové manažery. Každý vidí jen to, co potřebuje.
Když dobrovolník odchází: jeden klik v password manageru a přijde o veškerý přístup. Žádné přepisování hesel, žádná zapomenutá práva.
NordPass Business a Proton Pass for Business nabízejí centrální správu přístupů s možností přidělování práv podle rolí. Obě platformy mají speciální podmínky pro neziskový sektor, kontaktujte jejich obchodní oddělení.
Affiliate odkaz – koupí přes tento odkaz podpoříte provoz webu. Cena pro vás se nemění.
Bezplatná alternativa: Bitwarden Organizations je zdarma pro základní použití a open-source. Pro neziskovky s velmi omezeným rozpočtem je to solidní začátek.
2. Organizační email místo osobního Gmailu
Priorita: vysoká. Čas na nastavení: 2 hodiny.
Pokud komunikace s dárci, donory a partnery probíhá přes osobní emaily zakladatelů nebo dobrovolníků, máte tři problémy najednou: bezpečnostní, GDPR a profesionální.
Proton nabízí neziskovým organizacím slevu až 75 % na celý ekosystém: Mail, Drive, VPN a Pass. Žádost se podává přímo přes Proton, schválení trvá typicky několik pracovních dní.
Affiliate odkaz – koupí přes tento odkaz podpoříte provoz webu. Cena pro vás se nemění.
3. VPN pro práci odkudkoliv
Priorita: střední. Čas na nastavení: 30 minut.
Dobrovolníci a pracovníci neziskovek často pracují z domova, z kaváren nebo přímo v terénu. Každé takové připojení na veřejnou Wi-Fi je potenciální riziko pro data organizace.
Surfshark umožňuje neomezený počet zařízení na jednu licenci, což je pro neziskovky s proměnlivým počtem dobrovolníků ideální. Proton VPN je součástí Proton Nonprofits balíčku.
Affiliate odkaz – koupí přes tento odkaz podpoříte provoz webu. Cena pro vás se nemění.
Bezplatná alternativa: Proton VPN nabízí bezplatnou verzi bez limitu dat. Pro organizaci s minimálním rozpočtem je to plnohodnotná ochrana pro základní použití.
4. Zálohy projektové dokumentace
Priorita: vysoká. Čas na nastavení: 1 hodina.
Granty, závěrečné zprávy, smlouvy s donory, databáze kontaktů. Pokud tato data existují jen v jednom místě, jste od jejich ztráty vzdáleni jednomu ransomwarovému útoku nebo technické závadě.
Google Drive nestačí jako záloha. Pokud ransomware zašifruje váš počítač a máte synchronizaci s Google Drive, zašifruje se i obsah Drive. Záloha musí být oddělená od primárního úložiště.
End-to-end šifrované cloudové úložiště. Součást Proton Nonprofits balíčku. Vhodné pro citlivou dokumentaci, smlouvy a databáze kontaktů.
Měsíční záloha na externí disk, který po záloze odpojíte a uložíte mimo kancelář. Lacné, spolehlivé, nepřekonatelné.
GDPR a neziskovky: co musíte mít
GDPR se vztahuje na všechny organizace zpracovávající osobní údaje občanů EU. Neziskový charakter organizace vás nezbavuje povinností. Pokud sbíráte kontakty dárců, evidujete klienty nebo spravujete databázi dobrovolníků, GDPR se vás týká.
Nástroje jako Proton Mail a Proton Drive jsou navrženy tak, aby splňovaly evropské GDPR požadavky. Švýcarské sídlo a end-to-end šifrování jsou při výběru cloudového řešení pro neziskovky silné argumenty.