Wycieki danych w firmach w 2006r.

Badanie miało na celu przeanalizowanie wszystkich wycieków poufnych lub osobistych danych, przypadków sabotażu lub zaniedbań ze strony pracowników i innych naruszeń wewnętrznego bezpieczeństwa informatycznego, które w 2006 roku przynajmniej raz znalazły oddźwięk w mediach. Badanie ma charakter globalny, ponieważ analiza obejmuje wszystkie przypadki naruszeń bezpieczeństwa wewnętrznego, niezależnie od położenia geograficznego danej firmy czy struktur rządowych, które ucierpiały na skutek sabotażu pracownika. Dlatego wszystkie prawidłowości i tendencje wykazane w badaniu można w równym stopniu odnieść do firm ze wszystkich branż i krajów.

W 2004 roku centrum analityczne firmy InfoWatch zaczęło prowadzić rejestr przypadków naruszeń bezpieczeństwa wewnętrznego. Obecnie baza ta zawiera prawie 500 wpisów, z których 145 zostało dodanych w 2006 roku. Baza ta dostarczyła informacji wstępnych do badania.

W 2006 roku pobito wszelkie poprzednie rekordy pod względem liczby przypadków naruszenia wewnętrznego bezpieczeństwa informatycznego oraz skali poniesionych na skutek tych incydentów strat. W okresie tym miało miejsce kilka największych wycieków w historii. Wśród nich znalazła się kradzież informacji osobowych 28,7 milionów żołnierzy i weteranów amerykańskiej armii z Departamentu ds. Weteranów oraz wyciek prywatnych informacji dotyczących około 11 milionów członków British Nationwide Building Society. Wszystko to sprawia, że rok 2006 można śmiało nazwać „rokiem wycieku danych”.

Wyniki najnowszego badania stanowią uzupełnienie wniosków sformułowanych na podstawie przeprowadzonego na szeroką skalę badania InfoWatch "Wewnętrzne zagrożenia IT w Europie w 2006 roku, w którym uczestniczyło ponad 400 europejskich organizacji. Jednak w przeciwieństwie do wcześniejszego projektu, raport "Globalne badanie dotyczące wycieków 2006" wskazuje tendencje w rozwoju wewnętrznych zagrożeń bezpieczeństwa informatycznego oraz przedstawia, jak do nich doszło.

Główne wnioski

• W większości przypadków wycieki poufnych informacji dotykają organizacji biznesowych. Według badania, 66% incydentów naruszeń bezpieczeństwa wewnętrznego miało miejsce w prywatnych firmach. Przedsiębiorstwa ponoszą także główny ciężar strat spowodowanych takimi wyciekami, ponieważ konkurencyjność firm zależy od ich reputacji, a w przypadku wycieku informacji to właśnie reputacja firmy ucierpi w pierwszej kolejności.
• W 2006 roku ofiarą wycieku informacji padła ogromna liczba osób. W prawie 150 incydentach 80 milionów osób zostało zagrożonych kradzieżą tożsamości. Wiele z nich może stać się ofiarą oszustów i utracić wszystkie swoje oszczędności lub mieć na zawsze zrujnowaną historię kredytową.
• Każdy wyciek osobistych informacji powoduje milionowe straty. Oprócz strat finansowych zniszczona zostaje reputacja firmy, a setki tysięcy osób mogą stać się ofiarą kradzieży tożsamości. W 2006 roku w każdym wycieku poufnych danych ucierpiało średnio 785 000 osób.
• W grupie wysokiego ryzyka znajdują się organizacje, które pozwalają swoim pracownikom korzystać z urządzeń przenośnych. Korzystanie z takiego sprzętu doprowadziło do wycieków informacji w przypadku połowy wszystkich incydentów (50%); natomiast tylko w 12% przypadków medium wykorzystywanym do wycieków był Internet.
• Główne zagrożenie w przedsiębiorstwach stanowi brak dyscypliny pracowników. W 2006 roku zaniedbanie było przyczyną przeważającej większości wycieków (77%).

Źródła wycieków informacji

Analiza 145 incydentów naruszenia wewnętrznego bezpieczeństwa informatycznego pokazuje, że wycieki informacji mają charakter globalny. Nie jest możliwe wskazanie obszaru działalności gospodarczej ani regionu geograficznego, w którym firmy rzadko lub nigdy nie ucierpiały w wyniku działań osób mających dostęp do poufnych informacji. W 2006 roku wycieki informacji miały miejsce zarówno w małych firmach, jak i ogromnych korporacjach, organizacjach komercyjnych oraz rządowych.