Pracownik banku kradnie dane 1,5 mln klientów

Przeczytaj także: Wyciek poufnych danych firmy traktują poważnie

SunTrust Banks Inc. dysponuje aktywami, których wartość sięga 205,96 miliardów dolarów, co czyni go jedną z największych instytucji finansowych w USA. Bank, którego główna siedziba mieści się w Atlancie (Georgia), cieszy się szczególną popularnością wśród mieszkańców południowych stanów, ale niedawno stał się również niechlubną gwiazdą mediów. Wszystko zaczęło się 20 kwietnia br, kiedy to jego prezes William Rogers ujawnił, iż podjął współpracę z organami ścigania w efekcie wykrycia, że jeden z jego eks pracowników dokonał kradzieży danych należących do - bagatela - 1,5 mln klientów. Z oficjalnych informacji wynika, że z banku wypłynęły nazwiska, adresy, numery telefonów i bilanse niektórych rachunków. Jednocześnie podkreślono, że numery kont i hasła umożliwiające dostęp do rachunków są bezpieczne.

Przeprowadzona analiza kont poszkodowanych klientów SunTrust Banks nie wykazała żadnych podejrzanych aktywności, wzmocnione zostały zabezpieczenia, ale sam Rogers podkreślił, że niebezpieczeństwo nie zostało wyeliminowane. Wciąż bowiem istnieje prawdopodobieństwo nielegalnej sprzedaży tych danych m.in. zorganizowanym grupom przestępczym. To poważny problem, bo o ile ujawnienie numeru telefonu grozi ofierze głównie telemarketingowym bombardowaniem, o tyle znajomość jej stanu konta przez niepowołane osoby może skończyć się próbami wymuszeń, a nawet napaścią rabunkową. Wartość tych danych jest trudno oszacować, ale firma ANZENA przypomina, że w Polsce znacznie mniejszą bazę (130 tys. rekordów) były pracownik operatora telekomunikacyjnego w 2013r oferował. za 50 tys. złotych. Dlaczego aż tyle?

Ostatnie przesłuchania Marka Zuckerberga przed kongresem USA dobitnie pokazały, że to nie BitCoin, ale dane osobowe są współczesną walutą sieci. Potwierdza to najnowsze badanie wycieków i kradzieży danych autorstwa firmy Verizon, według której 76% podobnych naruszeń jest motywowane chęcią wzbogacenia się. Co ciekawe, niemal w co trzecim polowaniu na dane firm uczestniczą ich pracownicy (przyczyna 28% wszystkich wycieków), chociaż raport nie precyzuje ilu na szkodę swojego pracodawcy działa świadomie. Dla firmy taka wiedza może być cenna np. przy śledztwie już po wycieku danych, ale znacznie cenniejsza będzie ich ochrona przed każdym możliwym naruszeniem, niezależnie od jego przyczyny.

- Wdrażając rozwiązanie DLP pracodawca nie musi już opierać swojego poczucia bezpieczeństwa na intencjach czy kompetencjach pracowników: system chroni dane niezależnie od nich - mówi Radosław Serba, inżynier rozwiązań Safetica z firmy ANZENA – Dużo mówi się o tworzeniu optymalnych warunków pracy w kontekście HR, mniej w kontekście pracy z danymi. Wybierając ochronę przed wyciekiem danych zabezpieczamy najcenniejszy zasób firmy, a dodatkowo zwiększamy komfort i bezpieczeństwo pracowników, na których z wejściem RODO również może ciążyć odpowiedzialność za niewłaściwe przetwarzanie informacji. Warto, bo czasem od katastrofy dzieli nas tylko chwila.

Według statystyk Verizon w większości przypadków (87%) do kradzieży danych wystarczą minuty, ale tylko 3% z nich zauważana jest równie szybko. Tymczasem aż 68% naruszeń bezpieczeństwa pozostaje niewykrytych przez miesiące od ataku. Czyje dane są szczególnie narażone na wycieki? Twórcy raportu wskazują, że sektory z największym udziałem „ludzkiej podatności” to służba zdrowia (56%), zakłady i instytucje państwowe (34%) oraz szeroko pojęty biznes (31%).

Na miesiąc przed wejściem unijnego Rozporządzenia o Ochronie Danych Osobowych w sieci wciąż znajdziemy dziesiątki ogłoszeń „dobrą bazę danych kupię/sprzedam”. Aby na liście bestsellerów nie pojawiły się nasze dane, administratorzy powinni zrobić solidny rachunek sumienia. Czy pracownik może bez przeszkód wydrukować plik z wrażliwymi danymi? Czy może skopiować fragment firmowego dokumentu i wysłać go na swój prywatny adres mailowy? Czy może bezpiecznie współdzielić dane między urządzeniami firmowymi, a własnym sprzętem używanym w duchu BYOD? Warto odpowiedzieć sobie na te pytania, nim usłyszymy je od audytorów RODO, bo koszt wdrożenia rozwiązania DLP jest niczym w porównaniu do milionowych kar i odszkodowań dla klientów, których dane nie były właściwie chronione.