Nikt już nie zastanawia się nad tym, czy może nastąpić atak na infrastrukturę lub zasoby organizacji, bo wszyscy rozsądni zdają sobie sprawę, że to więcej niż prawdopodobne. Pozostaje nam tylko udoskonalać zabezpieczenia oraz identyfikować potencjalnie niebezpieczne obszary. Nie mamy wpływu na zachowania przestępców, nielojalnych pracowników czy złośliwych użytkowników sieci, ale możemy w dużym stopniu ograniczać ryzyko, szczególnie gdy chodzi o dostępy do poufnych i wrażliwych danych oraz know-how organizacji.
W obecnych czasach jesteśmy dużo lepiej skomunikowani ze sobą niż kiedykolwiek wcześniej, co przynosi wiele korzyści, ale i stanowi zagrożenie. Współczesne organizacje i ich struktury IT w dużym stopniu przygotowane są na odparcie ataków, ale i tak nie mogą zapobiec wszystkim niebezpieczeństwom w sieci. Atak może wynikać ze zwykłej złośliwości lub być obliczony na korzyści związane z pozyskaniem danych. Choć taki wyciek danych może trwać zaledwie kilka minut, to jego skutki mogą być długofalowe dla organizacji.
Z jakimi konsekwencjami trzeba się wtedy liczyć? Poniżej 4 skutki
Skutki finansowe
Wyciek danych prędzej czy później wiąże się ze stratami finansowymi. Najbardziej wymiernym przykładem takich strat są kary nałożone na przedsiębiorcę, który nie zapobiegł kradzieży danych lub zbyt nonszalancko traktował to zagadnienie. Mieliśmy w Polsce przykłady wielu sytuacji, w których zostały nałożone wysokie kary na organizacje, niedbające o właściwe zabezpieczenie danych osobowych. Urząd Ochrony Danych Osobowych publikuje na swoich stronach informacje, z których jednoznacznie wynika, że wyciek danych wcale nie jest zjawiskiem rzadkim.
Spółki karane przez Urząd — kary za naruszenie przepisów RODO
W 2019 roku Prezes Urzędu Ochrony Danych Osobowych (prezes UODO) nałożył na spółkę Morele.net spektakularną karę w wysokości ponad 2,8 mln zł. W ubiegłym roku (2020) nałożono karę 1 mln zł na spółkę ID Finance Poland, właściciela portalu pożyczkowego MoneyMan.pl, m.in. za brak odpowiedniej reakcji na sygnał o lukach w jej zabezpieczeniach, co doprowadziło do utraty danych klientów. Spółka nie zareagowała wystarczająco szybko na informacje o tym, że na jednym z jej serwerów dostępne są dane jej klientów. Kilka dni zwłoki po otrzymanym sygnale wystarczyło, by nieuprawniona osoba skopiowała te dane i usunęła je z serwera.
Także w 2020 r., operator telefonii komórkowej Play został ukarany za zbyt późne powiadomienie UODO o wyciekach danych. Zgłoszenie na temat pięciokrotnego naruszenia danych zostało przesłane do UODO, jednak bez zachowania 24-godzinnego okresu na zgłoszenie tego typu incydentów, co zakończyło się karą w wysokości 100 tysięcy złotych.
W 2019 roku kara za wyciek danych nie ominęła także innego operatora GSM: Virgin Mobile Polska. Firma ma zapłacić 1,9 mln zł za to, że nie zabezpieczyła używanego przez siebie systemu przed wyciekiem danych. Karę nałożył Prezes Urzędu Ochrony Danych Osobowych w związku ze skargą złożoną na wirtualnego operatora, w której informowano o możliwości wycieku danych ponad 100 tys. osób. Problemem była podatność systemu informatycznego wykorzystywanego do rejestracji kart prepaid (wymaga to okazania dokumentu tożsamości przez osobę chcącą zarejestrować kartę). Kontrola potwierdziła ten wyciek.
Koszty związane z wyciekiem danych mogą również obejmować m.in.:
- rekompensatę dla klientów, którzy zostali poszkodowani,
- wydatki związane z likwidacją szkody i skutków incydentu,
- koszty związane z prowadzeniem śledztwa oraz wszelkiego innego rodzaju kary i opłaty prawne.
Spadki notowań na giełdach
Spektakularne wycieki danych mają również wpływ na kurs akcji spółek notowanych na giełdach. Żadna firma w historii nie straciła w jeden dzień na wartości tyle, co Facebook w 2018 roku (spadek cen akcji o prawie 20%), co zdaniem analityków było pokłosiem m.in. głośnej sprawy związanej z wyciekiem danych użytkowników portalu społecznościowego i wykorzystywania ich w kampanii prezydenckiej przez Cambridge Analytica oraz wejściem w życie przepisów RODO w Europie. Organizacje, które naruszają przepisy RODO, muszą się liczyć z grzywną do wysokości nawet 4% rocznego obrotu lub 20 milionów euro.
Nie tylko polska specjalność
Jeśli spółka przetwarza znaczną ilość danych osobowych swoich klientów bez wdrożenia odpowiednich środków zabezpieczenia, to ryzyko nieuprawnionego dostępu do danych osobowych jest duże i ma dotkliwe finansowo konsekwencje. Przekonała się o tym brytyjska spółka British Airways, która w roku 2018 została ukarana karą w wysokości 20 milionów funtów przez brytyjski urząd ochrony danych osobowych (The Information Commissioner’s Office – ICO). Kwota ponad 100 milionów złotych robi duże wrażenie, jeśli jednak weźmiemy pod uwagę fakt, że początkowo urząd zapowiadał ukaranie przewoźnika astronomiczną kwotą prawie miliarda złotych, to możemy uznać, że miał sporo szczęścia.
Natomiast w roku 2020 hamburski organ odpowiedzialny za ochronę danych osobowych nałożył na szwedzką firmę H&M gigantyczną karę w wysokości ponad 35 milionów euro. Zarzucił H&M poważne naruszenia RODO w związku z przetwarzaniem danych pracowników oddziału w Norymberdze (placówka zatrudnia kilkaset osób).
Przestoje w pracy i ujawnienie warunków umów
Do skutków finansowych związanych z wyciekiem danych możemy bez wątpienia zaliczyć koszt paraliżu firmy i ograniczenia działań. Trudno realizować obowiązki zawodowe, gdy pracodawca wszystkim odcina dostępy, dopóki nie zidentyfikuje źródła i miejsca wycieku danych. Czas przymusowego przestoju jest wymierny i łatwo go przeliczyć na pieniądze. Ponadto wyciek danych klientów wraz z poziomem rabatowania oraz innymi informacjami biznesowymi wynikającymi z umów handlowych, może zostać wykorzystany również przez konkurencję. Bardzo często zapomina się, jak łatwo dostępne są takie dane z poziomu systemów informatycznych zaimplementowanych w przedsiębiorstwach, do których dostęp nie jest ściśle ograniczany.
Utrata reputacji
Łatwo sobie wyobrazić, jak dużo można stracić w oczach klientów, gdy dane o nich dostaną się w niepowołane ręce. Szeroko nagłośniony wyciek danych i związane z nim problemy dla klientów mają przełożenie na relacje z nimi. Trudno prowadzić skuteczną komunikację z kimś, kogo dane wypuściliśmy z rąk, często na własne życzenie z powodu zaniedbania (bo na przykład były pracownik/kontrahent wciąż miał dostęp do danych). Np. klienci wspomnianego wyżej Virgin Mobile otrzymują SMS-y informujące o tym, że ich dane osobowe zostały wykradzione. Zamiast komunikować przyjemne zdarzenia, operator musi przesyłać wieści, o których nikt nie chciałby usłyszeć. Także potencjalny klient na wieść o tym, że dana firma nie jest w stanie utrzymać bezpieczeństwa danych, niechętnie będzie powierzał swoje informacje i zaciągał zobowiązania wobec takiego podmiotu.
Utrata reputacji i frustracja klientów związana jest z szeregiem nadużyć wynikających z przejęcia danych, czego efektem jest wiele spraw karnych, z jakimi będą mieli do czynienia klienci. W przypadku sieci Virgin Mobile przejęte dane posłużyły m.in. do wyłudzania pieniędzy oraz innych informacji za pomocą kart SIM zarejestrowanych na dane nieświadomych klientów. Ich dane zostały wykorzystane przez przestępców do wyłudzania pieniędzy oraz kolejnych informacji za pomocą fikcyjnie zarejestrowanych kart. Taki proceder powoduje, że nieświadomy klient staje się później mimowolnym uczestnikiem dziesiątek, o ile nie setek spraw karnych.
Wykradzione dane często wykorzystywane są w tzw. phishingu. Jest to metoda oszustwa, która polega na podszywaniu się pod inną osobę w celu wyłudzaniu poufnych informacji związanych np. z danymi do logowania, numerami kart i pinów i tym podobnych działań. Phishing jest coraz popularniejszą metodą oszustwa internetowego i tylko w pierwszym kwartale 2021 roku zanotował aż 47% wzrost zagrożeń w stosunku do roku poprzedniego.
Warto wziąć pod uwagę także siłę mediów społecznościowych, ponieważ klienci, których dobra zostały naruszone, podzielą się tym faktem bezpośrednio nie tylko ze znajomymi, ale z szeroką publicznością, publikując widoczne dla wszystkich posty. Nadszarpnięcie wizerunku firmy ma długotrwałe skutki z racji tego, że dotyczy bezpośrednio klientów i zawsze będzie miało wpływ na zdolność organizacji do przyciągania nowych klientów, przyszłych inwestycji oraz nowych pracowników.
Ryzyko prawne
Poza mnóstwem komplikacji związanym z odpowiedzialnością finansową oraz utratą reputacji przedsiębiorstwo naraża się na długotrwałe spory sądowe. Mogą one wynikać zarówno ze strony powództwa cywilnego, jak i karnego ze strony organów i instytucji państwowych. Wyroki sądów nie zapadają szybko, co tylko podnosi koszty prowadzonych procesów, a zasądzone odszkodowania mogą iść w dziesiątki, o ile nie setki tysięcy złotych. Istnieje wiele międzynarodowych przepisów dotyczących bezpieczeństwa danych klientów i pacjentów takich, jak HIPAA, SOX czy PCI-DSS 3.0, które wymagają od firm ochrony tych danych i nakładają kary pieniężne za ich nieprzestrzeganie
We wrześniu 2017 r. Equifax, amerykańska międzynarodowa agencja sprawozdawcza nt. kredytów konsumenckich (jedna z trzech największych agencji sprawozdawczych dotyczących kredytów konsumenckich), ogłosiła naruszenie danych, które ujawniło dane osobowe 147 milionów osób. Szacuje się, że naruszenie to dotknęło w samej tylko Wielkiej Brytanii około 15 milionów klientów, którzy wszczęli własne odrębne postępowania sądowe w Sądzie Najwyższym, domagając się odszkodowania w wysokości 100 milionów funtów. Firma zgodziła się na globalną ugodę z Federalną Komisją Handlu, Biurem Ochrony Konsumentów i 50 stanami oraz terytoriami USA. Ugoda oznacza konieczność wypłaty 425 milionów dolarów na pomoc osobom dotkniętym naruszeniem danych.
Podsumowanie
Międzynarodowe raporty wskazują już od lat wzrost cyberprzestępczości, która w ostatnich latach osiąga rekordowe poziomy i notuje wzrosty rzędu 100% rok do roku. Jeśli wyciek danych dodatkowo wiązał się z udostępnieniem osobom niepowołanym informacji wrażliwych, takich jak dane biometryczne czy genetyczne lub dokumentacja medyczna, to skutki mogą być katastrofalne. Dane te są niezwykle cenne dla cyberprzestępców i znacznie więcej warte niż podstawowe informacje o środkach płatniczych typu karta kredytowa. Nawet jeśli nie zostaną wykorzystane, to przestępcy mogą doprowadzić do ich trwałego usunięcia i, w przypadku dokumentacji medycznej, może to znacznie utrudnić leczenie.
Konsekwencje braku strategii zarządzania danymi są dość poważne, o czym przekonało się wiele organizacji. Może minąć wiele lat, aby cofnąć szkodliwy wpływ naruszeń danych. Niektóre konsekwencje obejmują: kary za brak zgodności z normami, koszty prawne i podwyżki składek ubezpieczeniowych. W rezultacie rosną również wydatki prawne i składki ubezpieczeniowe. Efektem wycieku danych może być utrzymujący się spadek sprzedaży, ponieważ badania wykazały, że w branży finansowej, detalicznej i opieki zdrowotnej nawet jedna trzecia konsumentów przestanie korzystać z usług organizacji, w których zostały naruszone dane.
Jeśli zależy Ci na bezpiecznym dostępie do danych firmowych, skorzystaj z naszej pomocy, a przede wszystkim, zacznij od systemu, który rejestruje użytkowników oraz ich uprawnienia w systemach i innych zasobach firmowych.
