Ceny danych wahają się od 10 do 50 groszy za jedną pozycję, czyli przy odrobinie szczęścia można zarobić nawet 500 zł za 1000 pozycji. W dużych korporacjach takie ilości danych to wcale nie jest dużo. Jedyne, co pracownik takiej korporacji musi zrobić, by dodatkowo zarobić, to skopiować firmowe dane na pendrive. Raczej nikt nie będzie sprawdzał zawartości prywatnych pamięci USB, przecież ufamy swoim pracownikom
Najgłodniejsi danych są zazwyczaj agenci ubezpieczeniowi. To zwykle osoby pracujące na prowizji, a więc im więcej klientów tym lepiej. Same polecenia już nie wystarczają.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Aby ustrzec się przed zakusami własnych pracowników administrator systemów informatycznych (ASI) powinien odpowiednio zabezpieczyć służbowe komputery i monitorować działania pracowników oraz kopiowane przez nich dane. Rzadko, który pracownik wynosi dane osobowe w wersji papierowej.
Innym rodzajem zagrożenia dla firmowych baz danych są hakerzy, którzy praktycznie żyją z przestępstw w sieci i ciągle wyszukują „dziur” w zabezpieczeniach informatycznych.
Baza danych osobowych klientów banku dla banku konkurencyjnego jest warta dużo więcej niż 500 zł. Co więcej, najlepsi hakerzy potrafią tak ukraść dane, by nikt tego nie zauważył. A nawet jeżeli ktoś zauważy takie włamanie to raczej tego nie ujawni. Nie będzie się przecież chciał tym chwalić
Kolejnym przykładem są tzw. „socjotechniki”, czyli wyłudzanie informacji od pracowników, podając się za kogoś innego lub określając siebie jako osobę z polecenia kogoś innego.
Niczego nie świadomi pracownicy, często po nawet minimalnym uwiarygodnieniu tożsamości rozmówcy, w trakcie rozmowy telefonicznej są w stanie podać różne informacje w tym rodzaje zabezpieczeń, a niekiedy nawet hasła dostępu. Najbardziej znanym guru w tej dziedzinie jest oczywiście Kelvin Mitnick, ale nie on jest twórcą socjotechniki, po prostu ją udoskonalił niemal do perfekcji. Wyłudzanie informacji metodami socjotechnicznymi właśnie teraz staję się w Polsce najbardziej skuteczne i popularne jako narzędzie kradzieży danych. Wystarczy przyjrzeć się osobie Pawła Mitera, który ostatnio zasłynął ponownie ośmieszając wymiar sprawiedliwości i w konsekwencji doprowadzając do odwołania prezesa sądu w Gdańsku. Wcześniejszym przykładem skuteczności jego socjotechnicznych sztuczek jest fakt, iż prawie dostał swój własny program telewizyjny w TVP, powołując się na rzekome znajomości.
Niektórzy twierdzą, że nie ma jednej skutecznej metody w walce z tego typu atakami, bo z każdej firmy wyciekają pozornie błahe informacje, które połączone z innymi podobnymi lub nawet oficjalnymi dają narzędzia włamania osobom stosującym socjotechniki.
Naszym zdaniem, dobrze zorganizowane procedury zabezpieczeń oraz potwierdzanie tożsamości przy wszelkich kontaktach zewnętrznych są w stanie zapobiec kradzieży danych. Niestety, skrupulatne przestrzeganie wszelkich procedur bezpieczeństwa często utrudnia pracę i zajmuje dużo więcej czasu niż „normalnie”. W związku z tym większość instytucji nie godzi się na to określając dodatkowe zabezpieczenia jako wręcz paranoję.
Tak naprawdę nikt nie wie, jak duża jest skala szarej strefy handlu danymi osobowymi i ile incydentów ma miejsce w różnych firmach. Wynika to głownie z faktu, że w prawie nie ma obowiązku zgłaszania nigdzie takich informacji. Często więc administrator bezpieczeństwa informacji (ABI) administrator systemów informatycznych (ASI) są pierwszą i ostatnią linią obrony przedsiębiorstwa przed wszelkiego rodzaju atakami zarówno wewnętrznymi jak i zewnętrznymi.