Wyciek danych: fakty a nie mity

Wyciekające informacje są zmorą wielu organizacji, zagrożeniem, przed którym drżą prezesi największych firm. Chyba wszyscy czytelnicy nie mają wątpliwości, że skala zjawiska jest duża…ale jak to wygląda naprawdę?

Podstawowym źródłem danych statystycznych dotyczących wycieku danych jest raport Ponemon Institute w którym przedstawiane są koszty wycieku danych. Warto tu zauważyć, że nie dotyczy to tylko danych kartowych, lecz ogólnie danych personalnych (by nie koncentrować się na polskiej definicji danych osobowych). Innymi słowy chodzi tu o przypadki utraty danych medycznych, ubezpieczeniowych, danych pracowników czy członków, danych osobowych zawartych w sklepach internetowych czy u innych usługodawców online. Oczywiście chodzi tu również o typowe dane dotyczące numerów kart płatniczych. Tak więc okazuje się, że statystycznie rzecz ujmując jeden przypadek wycieku danych oznacza dla organizację stratę w wysokości 3 425 381 dolarów co daje kwotę 142 dolarów straty na jeden utracony rekord. Na te sumy składają się: koszt wykrycia, koszt poinformowania klientów, inne koszty związaną z reakcją (w tym wdrażanie zabepieczeń) oraz utracone korzyści. 

Skarbnicą wiedzy na temat poszczególnych przypadków wycieków danych jest natomiast strona datalossdb.org. Oprócz informacji statystycznych takich jak największe wycieki, znaleźć można informacje o najnowszych przypadkach (praktycznie codziennie kilka nowych). Znaczna część zapisów jest obarczona dodatkowych komentarzem co uatrakcyjnia lekturę. Tak więc na dzień pisania niniejszej wiadomości największym znanym przypadkiem utraty danych była sprawa utraty 150 000 000 rekordów przez Shanghai Roadway D&B Marketing Services Co. Ltd w dniu 17 marca 2012 (czyli w ubiegłym tygodniu bez szczególnego rozgłosu został pobity rekord świata ustanowiony 3 lata temu przez Heartland Payment Systems, Tower Federal Credit Union, Beverly National Bank).

W dniu pisania tego artykułu (23.03.2012) baza wzbogaciła się o informacje dotyczące następujących przypadków wycieku danych:

• 0            65th Battalion, Reserve Defence Force
• 102        AVS Photo Report
• 11          Pusat Pendidikan Kavaleri
• 99          Sociedad De Autores y Compositores de Venezuela (SACVEN)
• 31          Northrop Grumman Systems and Software Engineering Services
• 50          Mercury de Venezuela

Wzbogaceni o tę dane możemy przestać mówić ogólnie o „dużym zagrożeniu” i w dyskusjach zacząć bazować na faktach. Takie konkretne dane, dodatkowo wzbogacone o dokładne opisy, mogą wspomóc wszelkie merytorycznie dyskusje dotyczące konieczności zabezpieczania danych przetwarzanych przez różnego rodzaju organizacje