Szkoda większa niż czyn

Naruszenie bezpieczeństwa w firmie przetwarzającej wrażliwe dane może powodować prawdziwą lawinę kosztów.

W większości rozmów klienci podawali numer identyfikacyjny w strukturze ubezpieczeniowej firmy, nazwisko i datę urodzenia. Jest to zbyt mało, by napastnik mógł przeprowadzić sprawny atak przejęcia tożsamości. Niestety, w niektórych rozmowach klienci podawali także numer ubezpieczenia HIC ( Health Insurance Claim), który zawiera numer ubezpieczenia społecznego. Niektóre ze zrzutów ekranu zawierały właśnie ten numer. Jest to bardzo wrażliwa informacja w USA i z powodzeniem może być użyta do przeprowadzenia ataku kradzieży tożsamości. Właśnie dlatego należało przejrzeć informacje, do których mieli dostęp włamywacze, by móc powiadomić klientów i podjąć środki zaradcze. Jak dotąd, analiza materiału audiowizualnego zajęła ponad 110 tysięcy godzin roboczych.

Pół miliona narażonych klientów

Dotychczas zidentyfikowano ponad pół miliona klientów, którzy byli narażeni na ryzyko ataku kradzieży tożsamości, przy czym firma wysłała już 300 tysięcy listów. Jest to bardzo duży problem i wiadomo na pewno, że straty będą liczone w wielu milionach dolarów. Jak dotąd, sam proces analizy kosztował 7 milionów USD.

Jak podaje Michael Spinney, starszy analityk w Instytucie Ponemon, typowa kradzież danych kosztuje firmę w USA około 6,75 miliona dolarów. Niemniej incydent w BlueCross jest znacznie poważniejszy, a zatem firma będzie zmuszona ponieść wielokrotnie wyższe koszty niż tylko sama analiza danych i wysyłanie listów informacyjnych. Firma BlueCross zaoferowała klientom darmowe monitorowanie stanu kredytowego, przy czym większość poszkodowanych doświadczyła niewielkiego ryzyka. Niemniej, niektóre osoby podawały tak dużo danych, że ryzyko jest znacznie większe. Firma BlueCross będzie musiała zatem ponieść znacznie większe koszty.

Krajobraz powłamaniowy

Firma BlueCross postanowiła przeprowadzić kompleksowy audyt założeń polityki bezpieczeństwa oraz jej realizacji w praktyce. Dodatkowo, wynajęto Stephena Bairda, byłego agenta Departamentu Obrony USA zajmującego się cyberprzestępstwami, by przeprowadził testy penetracyjne systemów bezpieczeństwa w organizacji i pomógł odnaleźć inne luki. Samo przejrzenie materiałów nie wystarczy do określenia rozmiaru szkód, dlatego do projektu przydzielono dwóch zewnętrznych specjalistów śledczych, którzy zajmują się tylko tą sprawą. Wydaje się, że praca będzie bardzo trudna, ze względu na skomplikowany charakter zagrożenia, szeroki zbiór poszkodowanych klientów oraz przypuszczalne, bardzo wysokie ryzyko problemów w przypadku niektórych klientów. W liście opublikowanym przez BlueCross jej rzecznik informuje, że zadaniem firmy jest zapobieżenie takim zdarzeniom w przyszłości.