Coś się stało

Wyobraźmy sobie przedstawiciela kierownictwa firmy lub administracji publicznej, który rano wsiada do samochodu, aby spędzić najbliższe 30 minut w drodze do pracy. Stojąc w korku, słucha wiadomości w radiu. Niczym grom z jasnego nieba spada na niego informacja, której nigdy by się nie spodziewał. W organizacji, którą kieruje, miał miejsce poważny "wyciek". Chwilę później zaczyna dzwonić telefon. Ten dzień na pewno będzie należał do najtrudniejszych w jego karierze.

Wyciek, o którym mowa, to oczywiście wyciek informacji - które z tych czy innych powodów nie powinny być dostępne publicznie, a wydostały się na zewnątrz organizacji. Ostatnio takie "newsy" wielokrotnie zaskakiwały kierownictwa spółek czy szefów instytucji publicznych.

Pod koniec 2007 r. miał miejsce największy w historii incydent związany z wyciekiem danych. W listopadzie pracownicy działu IT Urzędu Podatkowego i Celnego Jej Królewskiej Mości (HMRC) wysłali za pośrednictwem firmy kurierskiej dane do Krajowego Urzędu Audytu, jednak nośniki zaginęły podczas transportu. Dane osobowe oraz informacje o kontach bankowych zapisane na nośnikach nie zostały należycie zabezpieczone. Kilka tygodni później w Holandii doszło do wycieku informacji dotyczących stanu zdrowia pacjentów. W Polsce z kolei co jakiś czas głośno jest o sprzedaży danych osobowych, znalezieniu danych klientów na śmietniku czy przewożeniu poufnych danych w formie wydruków, w bagażniku samochodu przez pracowników banku. W 2009 r. redaktorom "Dziennika" udało się, w ramach prowokacji dziennikarskiej, nabyć kilkadziesiąt tysięcy rekordów danych osobowych od agenta firmy ubezpieczeniowej, a następnie sprzedać te dane agentowi innej firmy.

Podobnych incydentów można by wymienić jeszcze wiele, jednak znaczna część spraw nigdy nie ujrzała światła dziennego. ITRC (Identity Theft Resource Center) na podstawie informacji o wyciekach danych podanych do wiadomości publicznej w 2008 r. przez firmy z USA oszacowały liczbę skradzionych lub utraconych rekordów danych na 35 mln, co stanowi wzrost o ok. 50% w porównaniu z 2007. Uważa się, że rzeczywista ich liczba może być kilkukrotnie wyższa.

Koszty incydentów zależą od skali wycieku i branży przedsiębiorstwa. Według Ponemon Institute, średni koszt wycieku informacji w 2008 r. wynosił 6,65 mln USD wobec 6,3 mln w roku 2007. Wyciek strategicznych informacji o planach przejęć lub łączenia spółek może spowodować straty liczone w setkach milionów dolarów, a nawet doprowadzić do upadku firmy.

Przykład z polskiego podwórka…

Należy zdać sobie sprawę z tego, że nieuprawniony wyciek informacji nie jest problemem wyłącznie dużych korporacji czy instytucji państwowych. Przyjrzyjmy się bliżej przypadkowi pewnej średniej warszawskiej firmy z sektora usług. Firma ta działa na bardzo konkurencyjnym rynku i jest liderem w swojej branży. Wchodzi w skład globalnego koncernu notowanego na giełdzie amerykańskiej, który podlega wymogom ustawy Sarbanes Oxley (SOX).

Firma kilka razy miała problem z wyciekiem informacji. Zdarzało się, że w kluczowych przetargach konkurencja proponowała ofertę, która przy tym samym zakresie usług była nieznacznie korzystniejsza cenowo. Kierownictwo miało bardzo poważne podejrzenia wobec pracowników, którzy brali udział w procesie ofertowania. Podejrzewano, że któryś z pracowników przesłał kopie oferty do znajomego zatrudnionego u konkurencji, co pozwoliło jej na przygotowanie lepszej propozycji. Pomimo poważnych podejrzeń nie było możliwe zidentyfikowanie źródła wycieku informacji.

Innym istotnym problemem wspomnianej firmy była bardzo niska świadomość pracowników w sprawach bezpieczeństwa aktywów informacyjnych. Większość osób nie była w stanie poprawnie ocenić, czy dana informacja powinna być chroniona, czy też może być dostępna publicznie.

Zdarzały się przypadki nieświadomego dzielenia się know-how firmy, poprzez przesyłanie znajomym z innych firm wzorów umów, a nawet wewnętrznych kalkulacji cenowych.


TOP 200
Na ten temat
Magazyny CXO
Partnerzy Klubu CIO
O Klubie

Klub CIO to niezależna organizacja, która istnieje od 2003 roku. Powstał z inicjatywy International Data Group Poland S.A., amerykańskiego wydawnictwa, które prowadzi Kluby CIO w wielu różnych krajach.

Stworzony dla dyrektorów IT Klub CIO, to przede wszystkim dwie wartości najczęściej podkreślane przez samych członków Klubu. Po pierwsze - poszerzanie zakresu swojej wiedzy oraz - po drugie - możliwość spotkania się w swobodnej atmosferze, w gronie znakomitych menedżerów i porozmawianie o tym, co ważne dla każdego CIO.

Jak działa Klub CIO?
  • regularne spotkania w gronie kilkudziesięciu CxO (w większości CIO)
  • 2,5 godziny programu merytorycznego plus 1-2 godziny networkingu
  • spotkania w Warszawie i innch miastach (Gdańsk, Wrocław, i in.)
  • komunikacja w ramach grupy Klub CIO na LinkedIn
  • serwis cxo.pl – służy wymianie wiedzy, doświadczeń, przedstawia historie i dokonania członków Klubu CIO
  • udział w badaniach i dostęp do ich wyników – unikalne źródło wiedzy o opiniach i doświadczeniach innych CIO
Warto brać udział w Klubie CIO, aby
  • rozwijać wiedzę o dobrych praktykach zarządzania IT
  • wymieniać doświadczenia z najlepszymi CIO
  • zyskać uznanie na forum firmy i w społeczności IT
  • poprawiać własną skuteczność w realizacja celów IT i firmy
  • budować lepsze zrozumienie roli i zadań nowoczesnego CIO
  • uzyskać realny wpływ na strategię firmy