Światowe media z lubością nagłaśniają incydenty wycieków danych – z udziałem hakerów wykradających miliony rekordów. W ostatnich dniach lipca za oceanem wybuchła wrzawa wokół ataku na bank Capital One, z którego wyparowały dane 106 mln klientów. Jednak historia zna bardziej spektakularne przypadki. Przykładowo do tej pory nikomu nie udało się nawet zbliżyć do wyniku Yahoo. Z baz danych tej firmy wykradziono informacje o 3 mld użytkowników (!). W rozmaitych rankingach prezentujących największe wycieki danych znajdują się topowe marki, takie jak: Facebook, Sony Pictures, eBay czy Uber. To pokazuje, że nikt nie może czuć się pewnie. Nawet bogate koncerny, których nie można podejrzewać o brak funduszy na systemy cyberbezpieczeństwa, padają ofiarą ataków. Analitycy IBM-u wyliczyli, że wyciek danych może przynieść poszkodowanej firmie nawet milionowe straty. We wspomnianym wcześniej przypadku Capital One wartość akcji banku w ciągu jednego dnia stopniała o 7 proc.

Zdarzenia związane z niekontrolowanym wyciekiem danych nie omijają także naszego kraju. W ubiegłym roku w Polsce odnotowano 4359 takich przypadków, co oznacza, że na każdy dzień roboczy przypadało 18 incydentów. Serwis internetowy Niebezpiecznik.pl zwraca uwagę na inną ważną kwestię, a mianowicie niezgłaszanie wycieku danych przez administratorów do właściwych instytucji. Według Urzędu Ochrony Danych Osobowych w minionych 12 miesiącach administratorzy aż 813 razy nie dopełnili obowiązku złożenia zawiadomienia o wystąpieniu incydentu związanego z naruszeniem informacji wrażliwych.

Przyczyny wycieków danych bywają bardzo różne. Często są to pomyłki ludzkie, np. pracownik kieruje e-mail do niewłaściwych odbiorców lub gubi firmowy pendrive. Znamienny jest przypadek bibliotekarki z Katowic, która wysłała do przypadkowej osoby informację o 3 tys. dłużników. Lista zawierała dane osób o zróżnicowanym zadłużeniu wobec biblioteki, a rekordziści winni byli ponad 10 tys. zł.

Rzecz jasna nie tylko gapiostwo prowadzi do niekontrolowanego wypływu informacji. Według badań IBM nieco ponad 50 proc. tego typu zdarzeń wynika z działalności przestępczej i umyślnie szkodliwej. Tego rodzaju historie najczęściej dotyczą osób rozstających się z pracodawcą w niezbyt przyjaznej atmosferze. Szczególnie interesujący jest przykład technologa pracującego dla polskiej firmy produkującej mieszanki paszowe dla zwierząt hodowlanych, który odchodząc z pracy, skopiował informacje o wartości 1,5 mln zł. Sprawa znalazła swój finał w sądzie, a oskarżony musiał zapłacić 30 tys. zł grzywny i 25 tys. zł nawiązki na rzecz pracodawcy.

Rośnie świadomość na temat DLP

O ile przywłaszczenie firmowego auta budzi oburzenie, o tyle wynoszenie informacji, które często stanowią nieporównywalnie większą wartość biznesową niż flota samochodowa, nie jest oceniane aż tak surowo. Niemniej wiele wskazuje na to, że zarówno właściciele firm, jak i kadra zarządzająca będą coraz bardziej rygorystycznie podchodzić do incydentów związanych z kradzieżą danych. Nie bez przyczyny rośnie liczba przedsiębiorców, którzy poszukują produktów umożliwiających ograniczenie do minimum ryzyka wycieku informacji. Jednym ze sposobów jest wdrożenie rozwiązań służących do kontroli zachowania pracowników. Szczególnie dużo do zaoferowania mają w tym zakresie systemy DLP (Data Loss Protection lub Data Leak Prevention).

Korzystając z tego oprogramowania można oznaczyć pliki wymagające ochrony, w tym dane dłużników czy know-how firmy, a następnie uniemożliwienie ich wyprowadzenie poza siedzibę przedsiębiorstwa. Niezależnie od tego, czy znajdują się w pamięci przenośnej, czy na serwerze poczty elektronicznej – tłumaczy Mateusz Piątek, Product Manager Safetica w Dagmie.

Niektóre z rozwiązań DLP, w tym wspomniana Safetica, zapewniają firmom przeprowadzenie prostego audytu, który wskazuje dane najbardziej narażone na wyciek. Wykonanie takiej operacji uświadamia przedsiębiorcom, że ich najcenniejsze aktywa nie są chronione, a dostęp do nich ma każdy pracownik.

– Wdrożenie systemu DLP oszczędziłoby firmom wielu problemów, w tym wizerunkowych i prawnych. W Polsce świadomość na temat istnienia tego typu rozwiązań dopiero się buduje, głównie za sprawą RODO – podkreśla Mateusz Piątek.

Dodatkowe informacje:

Mateusz Piątek, Product Manager Safetica w Dagmie, piątek.m@dagma.pl, tel. (32) 259 11 67