I tutaj znowu warto zajrzeć na stronę datalossdb.org bo starannie gromadzi ona informacje o stratach ponoszonych przez konkretne firmy. Można się z niej na przykład dowiedzieć, że firma Heartland Payment Systems (HPS), w której w 2008 roku doszło do rekordowego wycieku danych kart kredytowych 130 mln osób zauważyła wyciek dopiero pół roku później. W samych tylko odszkodowaniach dla osób poszkodowanych oraz operatorów kart kredytowych musiała zapłacić prawie 70 mln dolarów, a jej kurs giełdowy z dnia na dzień spadł prawie do połowy wartości i powrócił do poprzedniego poziomu dopiero po półtorej roku.

Straty finansowe z tytułu utraty kontroli nad danymi wrażliwymi można szacować na podstawie trzech podstawowych źródeł. Pierwszym z nich są przepisy prawa - w Polsce od bieżącego roku GIODO może nakładać jednorazową karę w wysokości do 50 tys. złotych oraz, co może mieć o wiele gorsze konsekwencje, nakazać zaprzestanie przetwarzania danych. Wyciek danych może także skutkować koniecznością np. czasowego zamknięcia dziurawego serwisu internetowego - najbardziej spektakularnym przykładem z ostatnich miesięcy jest zamknięcie serwisu PSN i Qriosity przez Sony. Straty z tego tytułu idą w miliony dolarów.

Zobacz również:

• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
• FBI ostrzega - masowy atak phishingowy w USA

Na rynku międzynarodowym wartościowym źródłem szacunków są coroczne raporty Ponemon Institute "Cost of data breach". Wyznaczają one górną granicę kosztów incydentu, biorąc pod uwagę często pomijane konsekwencje takie jak straty wizerunkowe czy utracone korzyści ("los business"). W raportach Ponemon średni koszt incydentu wycenia się według liczby utraconych danych osobowych, licząc 140 dolarów za jedną osobę. Zatem w przypadku HPS, biorąc pod uwagę szacunek z 2009 roku, koszt całościowy mógł sięgnąć ponad 7 miliardów dolarów, licząc utracone korzyści i długotrwały spadek wartości firmy.

Z punktu widzenia organizacji międzynarodowych ciekawe mogą być również publiczne raporty brytyjskiej FSA (Financial Security Agency). Można z nich korzystać tak jak z raportów GIODO ("gap analysis") z tą wszakże różnicą, że kary nakładane przez FSA wynoszą nieraz i kilka milionów funtów.

Częstym argumentem sceptyków jest przekonanie, że nasza organizacja jest zbyt mała by zainteresować włamywaczy lub nie przetwarza danych osobowych. Takim należy przypomnieć, że firma może paść również ofiarą zwykłego ataku "oportunistycznego". Na przykład w 2008 i w 2011 roku miały miejsce masowe ataki, których ofiarami padały strony prywatne i firmowe (po pół miliona za każdym razem). Ataki były prowadzone przez automaty a dziurawe strony stawały się rozsadnikami złośliwego oprogramowania i linków do stron porno czy podejrzanymi medykamentami. Poza wieloma polskimi firmami i organizacjami incydent taki przydarzył się na przykład Wyższej Szkole Policyji w Szczytnie. Wiele firm padało też ofiarami ataków o charakterze czysto chuligańskim. Spotykało to też instytucje publiczne, na przykład Sąd Okręgowy w Częstochowie.

Poza oczywistą kompromitacją wizerunku organizacji przypadek taki może skutkować szybkim wpisaniem danej strony na jedną z wielu czarnych list (Google Safe Browsing, Microsoft Phishing Filter, OpenDNS, WebSense), co będzie skutkowało wyświetlaniem ostrzeżeń przed wejściem na stronę naszej organizacji przez przeglądarki i wyszukiwarki, często przez wiele miesięcy po ataku.

Pewnym problemem kulturowym w Polsce jest specyficzny monumentalizm, który każe pisać polityki bezpieczeństwa w sposób nadmiarowy - w firmie, gdzie cała polityka zmieściłaby się na pół kartki A4 podejmuje się, z góry skazaną na porażkę, próbę wdrożenia skopiowanej "z sieci" polityki zajmującej 120 stron, właściwej być może dla banku czy korporacji. Porażka wdrożenia czegoś takiego jest gwarantowana. Polityka musi wynikać z potrzeb firmy, kontekstu i przepisów prawa.

Drugi problem kulturowy to pisanie polityk i standardów przy pomocy charakterystycznego bełkotu, stanowiącego połączenie źle pojętego języka prawniczego, technicznego i silenia się na "język urzędowy". Zwroty takie jak "niniejszy", "przedmiotowy" czy "iż" należy wpisać na czarną listę, a polityki pisać językiem precyzyjnym ale zrozumiałym. Niestety, w praktyce oznacza to, że to właśnie rolą działu bezpieczeństwa będzie przetłumaczenie pisanych niekiedy tym stylem wymagań prawa na język zrozumiały dla ludzi. Nie ma szans zadziałać coś, co nie zostanie zrozumiane przez adresatów.

W każdej organizacji trafiają się pracownicy podchodzący do nowych (lub istniejących) zasad w sposób sceptyczny lub lekceważący. Nie należy udawać, że ich nie ma ani ignorować ich opinii. Spełniają oni istotną rolę jako specyficzna "kontrola jakości", która może pozwolić na wyłapanie zaleceń nadmiarowych czy wręcz bezsensownych i w rezultacie bardziej przeszkadzających w pracy organizacji niż poprawiających jej bezpieczeństwo. Często takie osoby reagują sceptycyzmem na niedostateczne ("bo tak jest napisane") uzasadnienie konkretnych decyzji i kiedy go otrzymają ("bo nasza konkurencja została dokładnie za to ukarana") realizują go z pełnym zaangażowaniem.

Naturalnym zjawiskiem jest też istnienie pewnego odsetka osób, które po prostu mają w nosie wszelkie zasady. W ich przypadku działa jedynie egzekwowanie odpowiedzialności zgodnie z regulaminem i zasadami wynikającymi z prawa pracy, do zwolnienia włącznie. A do tego niezbędne jest pełne zaangażowanie kierownictwa i zarządu organizacji, od którego zaczęliśmy ten artykuł.