Szkoda większa niż czyn

Subskrybuj RSS A A A
16 marca 2010
Marcin Marciniak

Naruszenie bezpieczeństwa w firmie przetwarzającej wrażliwe dane może powodować prawdziwą lawinę kosztów.

6,75 mln USD
średnio kosztuję firmę w USA kradzież danych
Koszty te są związane nie tylko z karami umownymi, komplikacjami wynikającymi z naruszenia umów, karami nakładanymi przez zewnętrznych regulatorów lub wymiar sprawiedliwości, obniżką kursu akcji firmy czy trudną do oszacowania utratą marki. Są to także opłaty związane z pracą ekspertów szacujących rozmiar problemu, niekiedy odzyskujących ważne informacje ze szczątków danych dostępnych w systemie. Tymczasem, sam czyn, który skutkuje późniejszymi problemami, może być stosunkowo niewielki - kradzież kilkudziesięciu nieużywanych dysków twardych z niepilnowanej szafy lub kilku firmowych laptopów zawierających dane w postaci niezaszyfrowanej.

Przykładowe włamanie do firmy BlueCross BlueShield w USA, które miało miejsce w październiku ubiegłego roku, spowodowało właśnie taką lawinę kosztów. Nad ustaleniem rozmiaru szkód i zakresu danych pracowała mała armia specjalistów - ponad 500 pełnoetatowych pracowników i 300 pracujących w niepełnym wymiarze, przy czym prace prowadzono na dwie zmiany przez sześć dni w tygodniu. Wynikiem tych prac był raport, który ujawnił, że utrata danych była bardzo poważna i objęła bardzo wrażliwe dane - informacje medyczne oraz w niektórych przypadkach informacje, które umożliwiały kradzież tożsamości. Raport ten został przedstawiony prokuratorowi generalnemu w Maryland.

Podobnie jak w wielu innych przypadkach utraty danych, tak i w tym przypadku nastąpiła kradzież informacji w postaci niezaszyfrowanej oraz stosunkowo trudnej do przetworzenia i oszacowania. Drugiego października ubiegłego roku ze słabo zabezpieczonej szafy centrum szkoleniowego zdrowotnego towarzystwa ubezpieczeniowego skradziono 57 dysków twardych zawierających zapisy ponad miliona rozmów telefonicznych (razem 50 tysięcy godzin rozmów) oraz trzysta tysięcy zrzutów ekranu z oprogramowania wspierającego call center, wykonanych podczas niektórych z tych rozmów.

Szacowanie zniszczeń

Jednym z bardzo ważnych etapów prac, które trzeba wykonać po stwierdzonym naruszeniu bezpieczeństwa jest określenie rozmiaru szkód, wyrządzonych w organizacji przez dane zdarzenie. Dlatego przez ostatnie pięć miesięcy firma BlueCross ustalała, których klientów z ponad trzymilionowej bazy należy powiadomić o problemie. Niestety, żadne z dostępnych, elektronicznych narzędzi nie umożliwiło automatyzacji procesu analizy i należało ją wykonać ręcznie. Wiązało się to z odsłuchaniem i przejrzeniem dostępnych materiałów audiowizualnych. Roy Vaughn, rzecznik prasowy BlueCross BlueShield mówił: "Podjęliśmy decyzję o wdrożeniu ręcznej analizy, gdyż nie ma żadnego automatycznego substytutu dla odsłuchania tych nagrań przez człowieka oraz przejrzenia obrazów wideo. To po prostu należało odsłuchać i obejrzeć".

m.computerworld.pl - sprawdź mobilną wersję serwisu Computerworld
w swoim smartfonie.

Oceń artykuł

średnio: 5 liczba ocen: 1
1  2  dalej »
Podziel się |

Komentarze (0)

+Dodaj komentarz

Najpopularniejsze

Najnowsze

MAC, czyli ministerstwo reformowania rządzenia

MAC, czyli ministerstwo reformowania rządzenia
Premier wspiera lojalnie w kryzysie najbliższego współpracownika, Michała Boniego, przyjmując na siebie atak oburzonych internautów podczas debaty o ACTA.

Nowe, unijne zamówienia publiczne

Nowe, unijne zamówienia publiczne
Komisja Europejska proponuje ważne zmiany prawa wspólnotowego w obszarze zamówień publicznych. Warto im się przyjrzeć bo to jeden z elementów nowej perspektywy finansowej UE. Warto zatem przyjrzeć się owej propozycji bliżej.

Bezpieczeństwo rządowych stron - analiza

Bezpieczeństwo rządowych stron - analiza
Zespół zadaniowy ds. ochrony portali rządowych opublikował wytyczne. Trudno stwierdzić, że to najlepsze rekomendacje, jakie można było przy okazji zaistniałych ataków wypracować.

DEBATA: Kiedy walka polityczna w sieci przemienia się w cyberterroryzm?

DEBATA: Kiedy walka polityczna w sieci przemienia się w cyberterroryzm?
Skuteczny atak cybernetyczny przyniesie opłakane skutki dla państwa i gospodarki. Boleśnie się o tym przekonaliśmy, gdy nie można było dostać się na strony internetowe najważniejszych instytucji w Polsce.

Czy MSW chce unieważnienia przetargu na pl.ID?

Czy MSW chce unieważnienia przetargu na pl.ID?
Rośnie ryzyko całkowitego unieważnienia przetargu na nowe dowody osobiste. Krajowa Izba Odwoławcza odrzuciła odwołanie firmy Sygnity, która nie zgadzała się na wydłużenie o trzy miesiące terminu składania ofert na dostawę blankietów nowych dowodów osobistych. Wydłużenie całego postępowania o trzy miesiące może spowodować skargi uczestniczących w nim firm, a w konsekwencji unieważnienie przetargu.

Garść rad dla roztropnego szefa IT

Garść rad dla roztropnego szefa IT
Trudne czasy w gospodarce to okres, kiedy szczególnego znaczenia nabiera hasło: Jak cię widza, tak cię piszą. Osłabienie rynku przekłada się na oszczędności w przedsiębiorstwie, a oszczędności najłatwiej szukać w działach, które, w opinii zarządu, nie są bezpośrednio związane z prowadzoną działalnością - czyli również w dziale IT.

Sprzeczne wizje e-dowodu

Sprzeczne wizje e-dowodu
Koncepcja elektronicznego dowodu osobistego powstała w Polsce wiele lat temu. Starsze są koncepcje elektronicznego systemu świadczeń ochrony zdrowia. Mimo to, nadal są w trakcie budowy.

Rekomendacje

Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
 © Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88