Kolejne przypadki wycieku informacji

W związku z ciągłym rozwojem technologii informatycznych, szeroką dostępnością elektronicznych nośników informacji, ogromną popularnością serwisów społecznościowych oraz coraz większym dostępem do globalnej sieci, rośnie zagrożenie wyciekiem informacji.

Mimo rosnącej świadomości dotyczącej ochrony informacji coraz częściej  dochodzi do ujawnienia w Internecie, utraty czy kradzieży informacji, a pendrive'y, płyty czy niezniszczone dokumenty znajdowane są regularnie na wysypiskach czy podwórkowych śmietnikach. 

Najbardziej aktualnym przykładem dużego wycieku danych jest ostatnie wydarzenie dotyczące ujawnienia loginów, haseł i adresów e-mail 700 tysięcy użytkowników portalu Filmweb.pl. Podjęte natychmiast działania pokazały, że nie doszło jednak do złamania zabezpieczeń systemów informatycznych, co oznacza, że nastąpiła kradzież danych z wnętrza organizacji. 
Ujawnienie powyższych informacji stanowi zagrożenie nie tylko ze względu na konta założone w danym portalu, ale również w innych serwisach, a co gorsze – skrzynki e-mailowe. Są one być łatwym łupem, gdyż wielu internautów wykorzystuje te same hasła nie tylko do wielu kont, ale i poczty elektronicznej.   

Innym przykładem jest sytuacja z początku lipca, kiedy to z serwisu thepiratebay.org wyciekły nazwy użytkowników, skróty haseł, adresy e-mailowe oraz adresy IP około 4. milionów użytkowników. W tym przypadku była to kradzież z przełamaniem zabezpieczeń, co nie zmienia faktu, że ujawnienie tych danych mogło narazić na niebezpieczeństwo wielu użytkowników.

Ponieważ ciągle jeszcze wielu pracowników korzysta z tego typu portali również w godzinach pracy i ze służbowych komputerów, konieczne jest określenie polityk i egzekwawanie zachowań, które nie narażą danych firmowych.
Powtarzające się regularnie wycieki danych, haseł lub adresów e-mail potwierdzają także konieczność używania unikalnych haseł do różnych serwisów oraz poczty elektronicznej.

Inną częstą przyczyną wycieku danych jest błąd ludzki. To on doprowadził do tego, że Bank Pekao S.A. ujawnił w Internecie szczegółowe dane osobowe i zdjęcia tysiąca osób. Były to  listy motywacyjne i CV gromadzone w związku z ofertami stażu w Banku.

Również dokumentacja papierowa jest niedostatecznie chroniona. W wyniku pomyłek dane udostępniane są nieuprawnionym osobom, jak to miało miejsce Massachusetts. Dziennikarze, zamiast publicznie dostępnych danych, o które prosili, otrzymali od biura sekretarza stanu, płytę CD z danymi 139 tysięcy doradców inwestycyjnych zarejestrowanych w tym stanie.  Dane zawierały numery ubezpieczenia społecznego, nazwiska, daty i miejsca urodzenia doradców.

Z kolei w Katowicach, na śmietniku jednego z osiedli, znaleziono segregatory z trzystoma kartami z danymi osobowymi członków Wodnego Ochotniczego Pogotowia Ratunkowego. Nie wiadomo jeszcze, jak dokumenty te znalazły się w tym miejscu, jednak zaniedbanie takie zagrożone jest karą do 2 lat więzienia.

Zagrożenia związane z elektronicznymi nośnikami informacji, takimi jak pamięci flash, pokazuje przykład sprzed kilku dni. Na początku września w centrum miasta w Manchesterze znaleziono pamięć USB, na której znajdowały się poufne policyjne dokumenty zwierające między innymi nazwiska, stopnie i przydziały oficerów policyjnych, szczegółowe procedury postępowania w przypadku zamachu bombowego, zasady walki z użyciem pałki i tarczy oraz metody kontroli tłumu.

Powyższe sytuacje miały miejsce tylko w lipcu, sierpniu oraz pierwszej dekadzie września 2010 r. Jak widać, problem jest ogromy i powtarza się z dużą częstotliwością.  Na podstawie przedstawionych przykładów można postawić wnioski, że konieczne jest bezwzględne zakazanie pracownikom korzystania z portali niezwiązanych z obowiązkami służbowymi i używania jakichkolwiek danych służbowych do tego celu (w tym takich samych haseł jak do zasobów pracowniczych, służbowego adresu e-mail). Należy także pamiętać o obowiązku odpowiedniego zabezpieczania lub skutecznego niszczenia nieprzydatnych już dokumentów i nośników elektronicznych.