20080407-bankhsbcgubidaneklientów

2008-04-07 - Bank HSBC gubi dane klientów

Zarządzanie ryzykiem.

Identyfikacja, analiza, mitygacja.

Ochrona informacji - Optymalizacja procesów - Doradztwo

Zobacz jak możemy Ci pomóc!

Czy twoje dane są bezpieczne ?

W dniu 2008-04-07 WebUser poinformował za Financial Services Authority (FSA) o utracie dysku zawierającego dane 370 000 klientów (oryginalny artykuł). Dane zostały utracone około czterech tygodni temu. Dane na dysku zostały zabezpieczone hasłem. Z punktu widzenia poufności danych, istnieje spora szansa na jej zachowanie. Niemniej z powodu braku informacji jakie algorytmy kryptograficzne zostały użyte (o ile zostały) dalsze rozważania mogą być tylko spekulacją. kolejny interesujący nas aspekt to integralność danych, o ile dysk nie zostanie odnaleziony i użyty fakt utraty danych nie ma na nią wpływu. Oddzielną kwestią jest czy i w jaki sposób przekazywane dane pomiędzy bankiem a ubezpieczycielem były weryfikowane pod kątem integralności. Ostatni aspekt to dostępność informacji. W tym konkretnym przypadku została ewidentnie naruszona. Docelowy odbiorca nie otrzymał informacji na czas.

Koszty dla banku:

  • utrata reputacji i zaufania klientów, w szczególności tych których dane zostały utracone,

  • koszty komunikacji z każdym z 370 000 klientów,

  • koszty wyjaśniania sprawy,

  • potencjalna kara wymierzona przez FSA.

Czy można było wymianą informacji zarządzać lepiej ? Na co warto zwrócić uwagę w sytuacji współpracy ze stroną trzecią? Na pewno warto zwrócić uwagę na stosowane zabezpieczenia kryptograficzne, zweryfikować pośrednika który będzie przekazywał dysk miedzy stronami, opracować plan na wypadek sytuacji utraty danych. W rzeczy samej w opisanym przypadku ewidentnie widać brak dobrego, systematycznego podejścia do zarządzania ryzykiem.

Czy podobna sytuacja może zdarzyć się w innych organizacjach? Czy tylko banki tracą dane swoich klientów? Czy twoja organizacja zarządza informacją i jej bezpieczeństwem?

Autor: Adam Danieluk