Posílení ochrany dat je v poslední době velkým tématem, které by mělo zajímat i fundraisery. Přece jen se v tomto oboru pracuje s citlivými údaji i poměrně velkými sumami peněz. Nedávno navíc proběhl kyberútok na cloudový software pro dobročinné účely Blackbaud, který potvrdil, že je nutné brát tyto hrozby vážně. Jak se jim bránit?
Kyberútok ransomware (škodlivého programu, který požaduje výkupné) pocítili na vlastní kůži zaměstnanci firmy Blackbaud, a to už v roce 2020. Výše zaplacené částky nebyla nikdy zveřejněna, ale i celková čísla za poslední dobu jsou alarmující. Z dat technologické společnosti Chainalysis například vyplývá, že v roce 2021 to bylo 600 milionů dolarů, tedy o 70 procent více než v předchozím roce. A Blackbaud nebyl zdaleka jediný, masivnímu úniku dat čelila v té době i organizace Catholic Relief Services. Jak se od té chvíle kyberbezpečnost ve fundraisingu zvýšila?
„Náš sektor se začal nebezpečím zneužití dat zabývat poměrně pozdě, přestože shromažďujeme a uchováváme velmi citlivé informace,” přiznal v rozhovoru pro server Philantropy.com fundraisingový konzultant T. Clay Buck. Reagoval tak na vlnu kritiky, která případ Blackbaud doprovázela. S žalobami rozhořčených dárců se navíc kromě samotné firmy musely vypořádat i charitativní organizace, které její software využívají.
Kyberbezpečnost jako hlavní priorita
Buck radí začít od úplného začátku, tedy například šifrováním emailů s přílohami o platbách dárců nebo skrýváním jejich identity. Soubory, u kterých k tomu nedošlo, musí být zničeny a navíc je nutné i opětovné zabezpečení celé databáze. „Pokud máme ctít a respektovat lidi, kteří nám věnují své peníze, ochrana dat musí být naší prioritou a měli bychom ji i veřejně komunikovat,“ dodal.
Podobný názor má i Michal Heiplik, prezident organizace Contributor Development Partnership, která analyzuje data týkající se fundraisingu. Podle něj budou muset společnosti věnovat více lidských zdrojů i času na to, aby bezpečnost dat výrazně zvýšily. A to nejen v oblasti veřejnoprávních médií, kterými se primárně zabývá, ale napříč celým sektorem.
Vlastní iniciativa i nové zákony
Mnohdy stačí vytvořit výbor pro správu dat nebo tento úkol svěřit vybraným zaměstnancům. Změny sice probíhají jen pomalu a postupně, ale časem se projeví. Jak ukazují Buckovy i Heiplikovy zkušenosti z praxe.
Některé neziskové organizace toto téma řešit nechtějí, ale i tak musí plnit povinnosti, které jim ukládá legislativa. Evropská unie přijala obecné nařízení o ochraně dat (GDPR) už v roce 2016 a podobné opatření se chystá také ve Spojených státech.
„Ať už je to dáno zákonem nebo ne, dárci musí vidět, že se jim věnujeme. Tito lidé darují nemalé peníze, a tak od organizace očekávají určitou úroveň péče a pečlivosti,“ doplňuje Heiplik.
Jak řešit nálady na ochranu dat?
Kyberbezpečnost není zadarmo a neziskové organizace mohou mít problém se s vyššími náklady vypořádat. Příklady si můžeme vzít z amerického prostředí, kde se osvědčily granty na kybernetickou bezpečnost. K nejznámějším patří Gula Tech Foundation nebo Craig Newmark Philanthropies. Už v roce 2021 navíc třicet amerických neziskovek podepsalo výzvu, která směřuje především k technologickým miliardářům a nabádá je, aby se více zaměřovali právě na ochranu dat na internetu.