Takie dane stają się potem przedmiotem handlu, a ich ceny, w zależności od zakresu i jakości informacji, wahają się od 10 groszy do 1 zł za pojedyncze dane z bazy danych - mówił Tomasz Bejm z PwC Polska podczas prezentacji raportu w środę w Warszawie.
Jak powiedział, największy wyciek w historii dotyczył 100 milionów danych dotyczących osób, ich imion i nazwisk, adresów zamieszkania, numerów telefonów i kart kredytowych.
Zaznaczył, że rzeczywistość dowodzi, że firmy, które "straciły informacje albo im je ukradziono, bankrutują". Podał, że 60 proc. przedsiębiorstw, które po ataku na World Trade Center nie potrafiło odzyskać danych operacyjnych, przestało istnieć.
Według Bejma problem utraty ogromnych ilości informacji dotyczy szczególnie branż: finansowej, medycznej i telekomunikacyjnej. "To są również przypadki z polskiego rynku. W sieci można było znaleźć ogłoszenia o kompletnej bazie danych klientów firmy telekomunikacyjnej" - zaznaczył.
Za zbyt słabą uznał dbałość firm o pozostawione w pomieszczeniach dokumenty i elektroniczne nośniki danych, które także mogą zawierać informacje wrażliwe. "Co można zleźć na drukarkach, w szafach po godzinach pracy - jest to absolutnie niedoceniane. A często znajdują się tam dane handlowe, dane o technologiach stosowanych w firmach, często są tam informacje o cenach produktów, czy potencjalnych partnerach biznesowych" - podkreślił ekspert.
Jego zdaniem firmy powinny zatem podjąć działania służące ograniczeniu utraty wrażliwych danych. Za najważniejsze uznał: ustalenie przez zarząd i kadrę zarządzającą, jakie dane powinny być szczególnie chronione w firmie i gdzie jest największe ryzyko związane z ich utratą, edukowanie pracowników w kwestiach związanych z bezpieczeństwem wrażliwych danych i monitorowanie wdrażania przyjętych w firmie zasad bezpieczeństwa zarządzania wrażliwymi informacjami.
Uczestniczący w prezentacji raportu generalny inspektor ochrony danych osobowych Wojciech Rafał Wiewiórowski wskazywał, że bezpieczeństwo informacyjne zawsze jest uzależnione od kontekstu, w którym dana firma bądź organizacja działają. "Różne zasoby w poszczególnych firmach są zasobami kluczowymi. Każdy przedsiębiorca powinien dokonać oceny ryzyka, by wiedzieć, które dane zabezpieczać i w jaki sposób. Badania generalnie wskazują na to, że przynajmniej od strony formalnej ochrona informacji wygląda znaczniej lepiej w firmach dużych” – podkreślił Wiewiórowski.
Dodał, że zagadnienie ochrony wrażliwych danych szczególnie istotne jest w odniesieniu do małych i średnich przedsiębiorstw. Jak mówił, obecnie dysponują one dużymi zasobami danych, lecz na ich zabezpieczanie nie mogą przeznaczyć tak dużych środków, jak większe firmy.
Wiewiórowski zaznaczył, że trzeba zmienić sposób myślenia o tym, co można znaleźć w materiałach, do których dostęp ma osoba sprzątająca firmowe pomieszczenia. "Na stołach, w naszych biurach często dostępne są pendrive'y, dyskietki czy inne niezaszyfrowane cyfrowe nośniki danych. Zabranie takiego pendrive’a czy skopiowanie jego zawartości jest znacznie prostsze niż przeczytanie leżącego na biurku dokumentu" - mówił.
Dodał, że w Polsce nie ma przepisów, które zobowiązywałyby przedsiębiorcę czy instytucję publiczną do poinformowania klienta o wycieku jego danych. "Pierwszy wyłom, który został w tym zakresie, dotyczy prawa telekomunikacyjnego. Od kwietnia 2013 roku taki obowiązek spoczywa na operatorach telekomunikacyjnych" - podkreślił Wiewiórowski.
Raport PwC sporządziło we współpracy z firmą Iron Mountain. (PAP)