Podczas prac nad raportem przedstawiciele Gartnera przeprowadzili szczegółowe wywiady z pracownikami działów bezpieczeństwa i IT 50 dużych amerykańskich firm zajmujących się sprzedażą (od sklepów internetowych po duże supermarkety). Okazało się, że aż w 21 firmach odnotowano jakiś rodzaj ataku informatycznego, który spowodował narażenie danych klientów przedsiębiorstwa. Co niepokojące, tylko 3 z owych 21 firm poinformowały o tym klientów.

Przedstawiciele Gartnera mówią, że wyniki ich analiz nie mogą być traktowane jako reprezentatywne dla całego sektora (z uwagi na dość ograniczony zakres badania i niewielką liczbę ujętych w nim firm), jednak ilustrują one dość niepokojący trend. "Od dawna wiadomo, że przestępcy starają się przejmować cenne dane konsumentów - nasze badania pokazują, że do takich zdarzeń dochodzi coraz częściej i że z reguły nie są one ujawniane. Wygląda na to, że włamań i kradzieży danych jest o wiele więcej, niż mogłoby się nam wydawać na podstawie doniesień medialnych" - komentuje Avivah Litan, przedstawicielka Gartnera.

Warto zauważyć, że badanie dotyczy amerykańskiego rynku - a przecież w większości stanów obowiązują już przepisy zobowiązujące firmy do ujawniania informacji o włamaniach (w szczególności chodzi tu o powiadomienie klientów o tym, że ich dane zostały przejęte przez przestępcę). "Wygląda na to, że wiele firm woli zaryzykować ukaranie niż dobrowolnie poinformować o włamaniu - przedsiębiorcy widzą, jak szczegółowo opisywane są w mediach takie wydarzenia i za wszelką cenę nie chcą narażać na szwank swojej reputacji" - mówi Avivah Litan.

Przedstawicielka firmy analitycznej zastrzega, iż nie wszystkie firmy, które nie zgłosiły włamań, popełniły przestępstwo - w raporcie uwzględniono bowiem również przypadki kradzieży danych sprzed kilku lat, kiedy to jeszcze nie obowiązywały tak restrykcyjne przepisy dotyczące ujawniania takich informacji.

W raporcie Gartnera do "incydentów informatycznych", które spowodowały przejęcie danych klientów przez przestępców zaliczono m.in. włamania do systemu, ataki phishingowe oraz kradzież sprzętu lub nośników zawierających poufne informacje. Z opracowania dowiadujemy się także, że z 21 firm, które odnotowały takie przypadki, cztery zostały już ukarane przez operatorów płatności za niestosowanie się do zasad bezpieczeństwa obowiązujących podczas obsługi płatności, zaś 11 firmom grozi taka kara.

Avivah Litan przypomniała także, że przestępcy często korzystają z faktu, iż wiele firm wciąż stosuje przestarzałe systemy zabezpieczające. Tak było m.in. w słynnej sprawie sieci handlowej TJX, uznanej za najdroższe włamanie w historii. W 2006 r. przestępcy włamali się do jednego ze sklepów sieci przez słabo zabezpieczony WLAN. Z tego dostępu korzystali przez ponad rok - w tym czasie ukradli dane ponad 90 mln kart kredytowych i debetowych. Do tej pory TJX zapłacił za to już ponad 100 mln USD (na kwotę tę składają się m.in. kary urzędowe oraz odszkodowania dla klientów). Więcej informacji na ten temat znaleźć można w tekście "TJX: najdroższe włamanie w historii".