Pracownik banku wykradł dane 1,5 mln klientów

„Nie możesz cieszyć się życiem, jeśli martwisz się o pieniądze” - głosi prezes SunTrust Banks Inc. na stronie internetowej firmy. Zapewne przypomniał sobie tę maksymę podczas piątkowej konferencji prasowej przyznając, że z SunTrust - czternastego największego banku w USA - wykradziono 1,5 mln danych jego klientów. Jako eksperci w dziedzinie ochrony danych i utrzymania ciągłości działania IT w firmach wiemy, że z odpowiednim rozwiązaniem DLP (data leak protection) takich sytuacji można uniknąć.

Dane osobowe na rynku

Z aktywami wartości 205,96 miliardów dolarów SunTrust Banks Inc. to jedna z największych amerykańskich instytucji finansowych. Bank z Atlanty (Georgia) jest popularny wśród mieszkańców południowych stanów… a od piątku także w mediach zajmujących się bezpieczeństwem IT.

20 kwietnia prezes instytucji William Rogers ujawnił, że bank współpracuje z organami ścigania po wykryciu, że jego były pracownik wykradł dane 1,5 mln klientów instytucji. Wyciekły nazwiska, adresy, numery telefonów i bilanse części rachunków. Numery kont i hasła do nich pozostają bezpieczne.

Poziom ochrony danych natychmiast został wzmocniony, a analiza kont poszkodowanych klientów nie wykazała podejrzanych aktywności. Rogers jednak przyznał, że mimo tych zabiegów wciąż istnieje spore ryzyko, że np. zorganizowane grupy przestępcze kupią mogą kupić dane na nielegalnym rynku.

To poważny problem, bo o ile ujawnienie numeru telefonu grozi ofierze głównie telemarketingowym bombardowaniem, o tyle znajomość jej stanu konta przez niepowołane osoby może skończyć się próbami wymuszeń, a nawet napaścią rabunkową. Wartość tych danych jest trudno oszacować, ale przypominamy, że w Polsce w 2013 r. były pracownik operatora telekomunikacyjnego chciał sprzedać około 130 tys. rekordów z bazy danych za 50 tys. złotych. Dlaczego aż tyle?

Dane osobowe oraz zaufanie nową walutą

Ostatnie przesłuchania Marka Zuckerberga przed kongresem USA dobitnie pokazały, że to nie BitCoin, ale dane osobowe są współczesną walutą sieci. Potwierdza to także najnowsze badanie wycieków i kradzieży danych autorstwa firmy Verizon, według której 76% podobnych naruszeń jest motywowane chęcią wzbogacenia się.

Raport wskazuje na kolejny interesujący fakt: niemal w co trzecim polowaniu na dane firm uczestniczą ich pracownicy (przyczyna 28% wszystkich wycieków) - choć nie precyzuje ilu na szkodę swojego pracodawcy działa świadomie. Dla firmy taka wiedza może być cenna np. przy śledztwie już po wycieku danych. Uważamy, że znacznie cenniejsza jest jednak ochrona danych przed każdym możliwym naruszeniem, niezależnie od jego przyczyny.

- Wdrażając rozwiązanie DLP pracodawca nie musi już opierać swojego poczucia bezpieczeństwa na intencjach czy kompetencjach pracowników: system chroni dane niezależnie od nich. Dużo mówi się o tworzeniu optymalnych warunków pracy w kontekście HR, mniej w kontekście pracy z danymi. Wybierając ochronę przed wyciekiem danych zabezpieczamy najcenniejszy zasób firmy, a dodatkowo zwiększamy komfort i bezpieczeństwo pracowników, na których z wejściem RODO również może ciążyć odpowiedzialność za niewłaściwe przetwarzanie informacji. Warto, bo czasem od katastrofy dzieli nas tylko chwila.

Radosław Serba

inżynier rozwiązań Safetica

Statystyki mówią same za siebie

Verizon podaje, że w większości przypadków (87%) do kradzieży danych wystarczą minuty, ale tylko 3% z nich zauważana jest równie szybko. Tymczasem aż 68% naruszeń bezpieczeństwa pozostaje niewykrytych przez miesiące od ataku. Czyje dane są szczególnie narażone na wycieki? Sektory z największym udziałem „ludzkiej podatności”:

• służba zdrowia (56%),
• zakłady i instytucje państwowe (34%)
• oraz szeroko pojęty biznes (31%).

Na miesiąc przed wejściem unijnego Rozporządzenia o Ochronie Danych Osobowych w sieci wciąż znajdziemy dziesiątki ogłoszeń „dobrą bazę danych kupię/sprzedam”. Aby na liście bestsellerów nie pojawiły się nasze dane, administratorzy powinni zrobić solidny rachunek sumienia. Czy pracownik może bez przeszkód wydrukować plik z wrażliwymi danymi? Czy może skopiować fragment firmowego dokumentu i wysłać go na swój prywatny adres mailowy? Czy może bezpiecznie współdzielić dane między urządzeniami firmowymi, a własnym sprzętem używanym w duchu BYOD?

Warto odpowiedzieć sobie na te pytania, nim usłyszymy je od audytorów RODO, bo koszt wdrożenia rozwiązania DLP jest niczym w porównaniu do milionowych kar i odszkodowań dla klientów, których dane nie były właściwie chronione.