Blisko 7,8 mld dolarów straciły firmy w wyniku wycieków danych w 2013 roku

W ubiegłym roku mieliśmy do czynienia z ponad 561 mln danych finansowych i personalnych, które wystąpiły w ramach odnotowanych 1143 przypadkach poważnych wycieków informacji. Jest to o 22% więcej niż miało to miejsce w 2012 roku, jak podaje amerykańska firma badawcza InfoWatch Analytical Center w swoim raporcie Global Data Leakage Report 2013. Taka tendencja wzrostowa wynika bezpośrednio z braku świadomości zagrożeń, jak i wyraźnych procedur oraz ich stanowczego przestrzegania w firmach i instytucjach publicznych. Specjaliści, firmy i eksperci, którzy zajmują się zawodowo bezpieczeństwem już dzisiaj biją na alarm w Polsce.

Mimo istnienia stosownych norm jak np. DIN 66399, które jasno określają standardy niszczenia oraz klasyfikują odpowiednie dane i stopień w jakim powinny być zutylizowane, wciąż mamy niską świadomość zastosowania tej wiedzy w praktycznym życiu.

„Warto przy tym zaznaczyć, że firma InfoWatch podała, że niechlubne, pierwsze miejsce w rankingu krajów pod względem ilości wycieków zajmuje USA. Ponad 670 odnotowanych przypadków miało miejsce w Stanach Zjednoczonych, a stanowi to, aż blisko 60% wszystkich naruszeń. Co ciekawe na drugim miejscu znalazła się Rosja. Kolejne kraje to Wielka Brytania i nasi zachodni sąsiedzi – Niemcy. Pokazuje to, że problem nie dotyka tylko odległych krajów, czy też tych najbardziej rozwiniętych technologicznie. Także i Polska znajduje się na liście atrakcyjnych pozycji do ataków hakerów”

– mówi Marcin Sobaniec, ekspert HSM Polska.

W strukturze wszystkich wycieków danych instytucje publiczne zajmują stałą pozycję i stanowią blisko 1/3 (ponad 31%) odnotowanych przypadków. Co ciekawe spośród wszystkich rekordów które ujrzały światło dzienne, 85% stanowiły bardzo wrażliwe dane osobowe. Amerykańska agencja badawcza podaje ponadto szacowaną wartość odszkodowań i kosztów prawnych, które przedsiębiorstwa musiały ponieść w związku z udostępnionymi informacjami. Firmy i instytucje zapłaciły za brak właściwych zabezpieczeń niebagatelną sumę prawie 7,8 miliarda dolarów.

– W Polsce firmy także narażone są na podobne konsekwencje w przypadku niezastosowania odpowiednich norm w przechowywaniu, zabezpieczaniu i bezpiecznym niszczeniu informacji. W większości sytuacji mamy bowiem do czynienia z bardzo amatorskim podejściem do zagadnienia odpowiedniego utylizowania dokumentów i nowoczesnych nośników danych. Według statystyk policji odnoszących się do przestępstw przeciwko ochronie informacji skala zjawiska w Polsce utrzymuje się na stosunkowo wysokim poziomie. W 2013 roku wszczęto 2203 postępowania dotyczące szeroko rozumianego naruszenia tajemnicy korespondencji. W zestawieniu z danymi z roku 2012 widoczny jest wzrost liczby postępowań o ponad 30%. Odnotowano 1487 przestępstw w wyniku uzyskania nielegalnego dostępu do korespondencji, poprzez podłączenie do sieci telekomunikacyjnej lub przełamanie albo omijanie zabezpieczeń elektronicznych, magnetycznych, informatycznych

– dodaje Marcin Sobaniec.

W raporcie InfoWatch znajdziemy również wiele ciekawych i cennych wskazówek dla polskich firm i instytucji. Otóż okazuje się, że u źródła wycieków stoją: prawie połowa z nich to szeregowi pracownicy (49,5%), tylko 1,1%, stanowili administratorzy IT. Grupą niskiego ryzyka są także pracownicy na stanowiskach kierowniczych i dyrektorskich. Byli pracownicy przyczynili się do przecieków w nieznacznym stopniu, stanowiąc tylko 4,6% odnotowanych przypadków. Zaraz po pracownikach, drugie (23,4%) niechlubne miejsce zajmują osoby zatrudnione na kontrakt lub zlecenie.

- Informatyzacja biur i działalności biznesowej usprawniła proces komunikacji biznesowej. Statystyki pokazują, że nie należy zapominać o zagrożeniach, jakie może wywołać niekontrolowany obieg informacji w firmie. Co roku dochodzi do ponad 120 przypadków ujawnienia tajemnicy służbowej i zawodowej. W 2013 roku mieliśmy do czynienia z 44 przestępstwami związanymi z wyciekiem lub wykorzystaniem informacji związanych z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową. Według danych policji, wykrywalność przestępstw tej kategorii przekracza 63%. Niemniej jednak ujęcie sprawcy i nałożenie na niego kary nie zawsze jest proporcjonalne do strat finansowych i wizerunkowych poniesionych przez osobę lub przedsiębiorstwo

– komentuje Marcin Sobaniec.

Utraty cennych danych nastąpiły również na określonych nośnikach. I tak najwyższą pozycję w analizowanej grupie wciąż zajmują dokumenty papierowe (21,9 %). Zaraz po nich jest utrata lub kradzież sprzętu komputerowego (17,9%), tuż za nią uplasowała się sieć IT i coraz popularniejsza tzw. informatyczna chmura (13,8%). Kolejnym zagrożeniem w strukturze są przekazywane informacje drogą mailową. Jeden na dziesięć (10,9%) wycieków miał swoje podłoże w poczcie elektronicznej. Nośniki danych to istotny element nowoczesnego biura. Czy to dysk twardy, czy pendrive lub płyta CD nie ma znaczenia. Dane na nich zawarte często są nieodpowiednio zabezpieczone. Ciekawostką jest również badanie firmy Kroll Ontrack, która zapytała Polaków o sposoby radzenia sobie z kasowaniem danych. Ankietowani przyznają, że w celu ich usunięcia ze sprzedawanych HDD i smartphonów najczęściej stosują: formatowanie (42%), przywracanie ustawień systemowych (36%) oraz ręczne usuwanie danych (12%).

– „Jak widać mimo dostępności niszczarek do dokumentów, dysków twardych i nośników danych, wciąż nie słabnie zagrożenie ze strony przestępców. Grupą najbardziej zagrożoną na wyciek są dalej dokumenty klasycznie przechowywane w przedsiębiorstwach i firmach. Co ciekawe ich udział w strukturze zagrożonych nośników informacji jest bardzo podobny w stosunku do roku 2012. Wówczas było to 22,3%, czyli o 0,4% więcej niż w minionym roku. Warto zwrócić uwagę na aspekt poziomów bezpieczeństwa i zaopatrzenia przedsiębiorców w odpowiednie urządzenia, spełniające najwyższe normy w utylizacji przechowywanych informacji. Ścinki w niszczonych dokumentach powinny mieć swoją odpowiednią wielkość, tak aby skutecznie uniemożliwić odzyskanie zawartości pism i dokumentacji. Nie wystarczy, więc, że firma zainstaluje najprostsze urządzenie. Powinna zadbać, aby do każdego działu, każdej jednostki operacyjnej przyporządkowane było urządzenie odpowiedniej klasy. Co więcej powinny zostać stworzone stosowne procedury wyznaczające gdzie i w jakim terminie odbywa się niszczenie dokumentów. Zagadnienia te to czubek góry lodowej, pośród przepisów zapewniających przedsiębiorcom bezpieczne przechowywanie informacji. Coraz więcej firm, także w Polsce, ma ich świadomość i zaczyna wdrażać właściwe standardy w polskich realiach. Sporo jest jednak do zrobienia, bowiem zarówno w ośrodkach administracji publicznej, jak i w prywatnym sektorze wciąż widzimy wiele braków.”

– dodaje Marcin Sobaniec.

Źródło: HSM Polska Sp. z o.o