Szkoda większa niż czyn
- 16.03.2010
Naruszenie bezpieczeństwa w firmie przetwarzającej wrażliwe dane może powodować prawdziwą lawinę kosztów.
średnio kosztuję firmę w USA kradzież danych
Przykładowe włamanie do firmy BlueCross BlueShield w USA, które miało miejsce w październiku ubiegłego roku, spowodowało właśnie taką lawinę kosztów. Nad ustaleniem rozmiaru szkód i zakresu danych pracowała mała armia specjalistów - ponad 500 pełnoetatowych pracowników i 300 pracujących w niepełnym wymiarze, przy czym prace prowadzono na dwie zmiany przez sześć dni w tygodniu. Wynikiem tych prac był raport, który ujawnił, że utrata danych była bardzo poważna i objęła bardzo wrażliwe dane - informacje medyczne oraz w niektórych przypadkach informacje, które umożliwiały kradzież tożsamości. Raport ten został przedstawiony prokuratorowi generalnemu w Maryland.
Zobacz również:
Podobnie jak w wielu innych przypadkach utraty danych, tak i w tym przypadku nastąpiła kradzież informacji w postaci niezaszyfrowanej oraz stosunkowo trudnej do przetworzenia i oszacowania. Drugiego października ubiegłego roku ze słabo zabezpieczonej szafy centrum szkoleniowego zdrowotnego towarzystwa ubezpieczeniowego skradziono 57 dysków twardych zawierających zapisy ponad miliona rozmów telefonicznych (razem 50 tysięcy godzin rozmów) oraz trzysta tysięcy zrzutów ekranu z oprogramowania wspierającego call center, wykonanych podczas niektórych z tych rozmów.
Szacowanie zniszczeń
Jednym z bardzo ważnych etapów prac, które trzeba wykonać po stwierdzonym naruszeniu bezpieczeństwa jest określenie rozmiaru szkód, wyrządzonych w organizacji przez dane zdarzenie. Dlatego przez ostatnie pięć miesięcy firma BlueCross ustalała, których klientów z ponad trzymilionowej bazy należy powiadomić o problemie. Niestety, żadne z dostępnych, elektronicznych narzędzi nie umożliwiło automatyzacji procesu analizy i należało ją wykonać ręcznie. Wiązało się to z odsłuchaniem i przejrzeniem dostępnych materiałów audiowizualnych. Roy Vaughn, rzecznik prasowy BlueCross BlueShield mówił: "Podjęliśmy decyzję o wdrożeniu ręcznej analizy, gdyż nie ma żadnego automatycznego substytutu dla odsłuchania tych nagrań przez człowieka oraz przejrzenia obrazów wideo. To po prostu należało odsłuchać i obejrzeć".