Coś się stało

Wyobraźmy sobie przedstawiciela kierownictwa firmy lub administracji publicznej, który rano wsiada do samochodu, aby spędzić najbliższe 30 minut w drodze do pracy. Stojąc w korku, słucha wiadomości w radiu. Niczym grom z jasnego nieba spada na niego informacja, której nigdy by się nie spodziewał. W organizacji, którą kieruje, miał miejsce poważny "wyciek". Chwilę później zaczyna dzwonić telefon. Ten dzień na pewno będzie należał do najtrudniejszych w jego karierze.

Wyciek, o którym mowa, to oczywiście wyciek informacji - które z tych czy innych powodów nie powinny być dostępne publicznie, a wydostały się na zewnątrz organizacji. Ostatnio takie "newsy" wielokrotnie zaskakiwały kierownictwa spółek czy szefów instytucji publicznych.

Pod koniec 2007 r. miał miejsce największy w historii incydent związany z wyciekiem danych. W listopadzie pracownicy działu IT Urzędu Podatkowego i Celnego Jej Królewskiej Mości (HMRC) wysłali za pośrednictwem firmy kurierskiej dane do Krajowego Urzędu Audytu, jednak nośniki zaginęły podczas transportu. Dane osobowe oraz informacje o kontach bankowych zapisane na nośnikach nie zostały należycie zabezpieczone. Kilka tygodni później w Holandii doszło do wycieku informacji dotyczących stanu zdrowia pacjentów. W Polsce z kolei co jakiś czas głośno jest o sprzedaży danych osobowych, znalezieniu danych klientów na śmietniku czy przewożeniu poufnych danych w formie wydruków, w bagażniku samochodu przez pracowników banku. W 2009 r. redaktorom "Dziennika" udało się, w ramach prowokacji dziennikarskiej, nabyć kilkadziesiąt tysięcy rekordów danych osobowych od agenta firmy ubezpieczeniowej, a następnie sprzedać te dane agentowi innej firmy.

Zobacz również:



Podobnych incydentów można by wymienić jeszcze wiele, jednak znaczna część spraw nigdy nie ujrzała światła dziennego. ITRC (Identity Theft Resource Center) na podstawie informacji o wyciekach danych podanych do wiadomości publicznej w 2008 r. przez firmy z USA oszacowały liczbę skradzionych lub utraconych rekordów danych na 35 mln, co stanowi wzrost o ok. 50% w porównaniu z 2007. Uważa się, że rzeczywista ich liczba może być kilkukrotnie wyższa.

Koszty incydentów zależą od skali wycieku i branży przedsiębiorstwa. Według Ponemon Institute, średni koszt wycieku informacji w 2008 r. wynosił 6,65 mln USD wobec 6,3 mln w roku 2007. Wyciek strategicznych informacji o planach przejęć lub łączenia spółek może spowodować straty liczone w setkach milionów dolarów, a nawet doprowadzić do upadku firmy.

Przykład z polskiego podwórka…

Należy zdać sobie sprawę z tego, że nieuprawniony wyciek informacji nie jest problemem wyłącznie dużych korporacji czy instytucji państwowych. Przyjrzyjmy się bliżej przypadkowi pewnej średniej warszawskiej firmy z sektora usług. Firma ta działa na bardzo konkurencyjnym rynku i jest liderem w swojej branży. Wchodzi w skład globalnego koncernu notowanego na giełdzie amerykańskiej, który podlega wymogom ustawy Sarbanes Oxley (SOX).

Firma kilka razy miała problem z wyciekiem informacji. Zdarzało się, że w kluczowych przetargach konkurencja proponowała ofertę, która przy tym samym zakresie usług była nieznacznie korzystniejsza cenowo. Kierownictwo miało bardzo poważne podejrzenia wobec pracowników, którzy brali udział w procesie ofertowania. Podejrzewano, że któryś z pracowników przesłał kopie oferty do znajomego zatrudnionego u konkurencji, co pozwoliło jej na przygotowanie lepszej propozycji. Pomimo poważnych podejrzeń nie było możliwe zidentyfikowanie źródła wycieku informacji.

Innym istotnym problemem wspomnianej firmy była bardzo niska świadomość pracowników w sprawach bezpieczeństwa aktywów informacyjnych. Większość osób nie była w stanie poprawnie ocenić, czy dana informacja powinna być chroniona, czy też może być dostępna publicznie.

Zdarzały się przypadki nieświadomego dzielenia się know-how firmy, poprzez przesyłanie znajomym z innych firm wzorów umów, a nawet wewnętrznych kalkulacji cenowych.