2008-04-07 - Bank HSBC gubi dane klientów

Zarządzanie ryzykiem.
Identyfikacja, analiza, mitygacja.
Ochrona informacji - Optymalizacja procesów - Doradztwo
Zobacz jak możemy Ci pomóc!


Czy twoje dane są bezpieczne ?

W dniu 2008-04-07 WebUser poinformował za Financial Services Authority (FSA) o utracie dysku zawierającego dane 370 000 klientów (oryginalny artykuł). Dane zostały utracone około czterech tygodni temu. Dane na dysku zostały zabezpieczone hasłem.  Z punktu widzenia poufności danych, istnieje spora szansa na jej zachowanie. Niemniej z powodu braku informacji jakie algorytmy kryptograficzne zostały użyte (o ile zostały) dalsze rozważania mogą być tylko spekulacją. kolejny interesujący nas aspekt to integralność danych, o ile dysk nie zostanie odnaleziony i użyty fakt utraty danych nie ma  na nią wpływu. Oddzielną kwestią jest czy i w jaki sposób przekazywane dane pomiędzy bankiem a ubezpieczycielem były weryfikowane pod kątem integralności. Ostatni aspekt to dostępność informacji. W tym konkretnym przypadku została ewidentnie naruszona. Docelowy odbiorca nie otrzymał informacji na czas. 

Koszty dla banku:

  • utrata reputacji i zaufania klientów, w szczególności tych których dane zostały utracone,
  • koszty komunikacji z każdym z 370 000 klientów,
  • koszty wyjaśniania sprawy,
  • potencjalna kara wymierzona przez FSA.

Czy można było wymianą informacji zarządzać lepiej ? Na co warto zwrócić uwagę w sytuacji współpracy ze stroną trzecią? Na pewno warto  zwrócić uwagę na stosowane zabezpieczenia kryptograficzne, zweryfikować pośrednika który będzie przekazywał dysk miedzy stronami, opracować plan na wypadek sytuacji utraty danych. W rzeczy samej  w opisanym przypadku ewidentnie widać brak dobrego, systematycznego podejścia do zarządzania ryzykiem. 

Czy podobna  sytuacja może zdarzyć się w  innych  organizacjach? Czy tylko banki tracą dane swoich klientów? Czy twoja organizacja zarządza informacją  i jej bezpieczeństwem? 

Autor: Adam Danieluk