20080407-bankhsbcgubidaneklientów
2008-04-07 - Bank HSBC gubi dane klientów
Zarządzanie ryzykiem.
Identyfikacja, analiza, mitygacja.
Ochrona informacji - Optymalizacja procesów - Doradztwo
Zobacz jak możemy Ci pomóc!
Czy twoje dane są bezpieczne ?
W dniu 2008-04-07 WebUser poinformował za Financial Services Authority (FSA) o utracie dysku zawierającego dane 370 000 klientów (oryginalny artykuł). Dane zostały utracone około czterech tygodni temu. Dane na dysku zostały zabezpieczone hasłem. Z punktu widzenia poufności danych, istnieje spora szansa na jej zachowanie. Niemniej z powodu braku informacji jakie algorytmy kryptograficzne zostały użyte (o ile zostały) dalsze rozważania mogą być tylko spekulacją. kolejny interesujący nas aspekt to integralność danych, o ile dysk nie zostanie odnaleziony i użyty fakt utraty danych nie ma na nią wpływu. Oddzielną kwestią jest czy i w jaki sposób przekazywane dane pomiędzy bankiem a ubezpieczycielem były weryfikowane pod kątem integralności. Ostatni aspekt to dostępność informacji. W tym konkretnym przypadku została ewidentnie naruszona. Docelowy odbiorca nie otrzymał informacji na czas.
Koszty dla banku:
utrata reputacji i zaufania klientów, w szczególności tych których dane zostały utracone,
koszty komunikacji z każdym z 370 000 klientów,
koszty wyjaśniania sprawy,
potencjalna kara wymierzona przez FSA.
Czy można było wymianą informacji zarządzać lepiej ? Na co warto zwrócić uwagę w sytuacji współpracy ze stroną trzecią? Na pewno warto zwrócić uwagę na stosowane zabezpieczenia kryptograficzne, zweryfikować pośrednika który będzie przekazywał dysk miedzy stronami, opracować plan na wypadek sytuacji utraty danych. W rzeczy samej w opisanym przypadku ewidentnie widać brak dobrego, systematycznego podejścia do zarządzania ryzykiem.
Czy podobna sytuacja może zdarzyć się w innych organizacjach? Czy tylko banki tracą dane swoich klientów? Czy twoja organizacja zarządza informacją i jej bezpieczeństwem?
Autor: Adam Danieluk