Lies, Damned Lies & Data Breach Statistics Tony Brookes - PowerPoint PPT Presentation

Lies, Damned Lies & Data Breach Statistics Tony Brookes www.derby.ac.uk

I wondered how often people lose data § How likely are they to lose a memory stick or CD with enough data on it to bring us to the ICO’s attention. § I thought, how hard can it be. § There are lots of reports being published, they’ll have the statistics. § Won’t they? www.derby.ac.uk

There are lots of reports available www.derby.ac.uk

DBIR 2012 – How do breaches occur? § 855 incidents, 174 million compromised records § 81% utilized some form of hacking (+31%) § 69% incorporated malware (+20%) § 10% involved physical attacks (-19%) § 7% employed social tactics (-4%) § 5% resulted from privilege misuse (-12%) www.derby.ac.uk

April 2012 PWC/BIS/InfoSec survey www.derby.ac.uk

DPA Fines (1) £60,000 ¡ NHS ¡Trust ¡ Medical ¡records ¡sent ¡to ¡the ¡wrong ¡address. ¡ £150,000 ¡ Company ¡ Laptop ¡stolen ¡with ¡500,000 ¡customer ¡records ¡ No ¡Encryp*on ¡ £225,000 ¡ NHS ¡Trust ¡ 1000’s ¡hospital ¡records ¡leD ¡laying ¡about ¡in ¡closed ¡ buildings ¡ £90,000 ¡ Council ¡ Two ¡social ¡care ¡reports ¡sent ¡to ¡wrong ¡people ¡(*) ¡ £325,000 ¡ NHS ¡Trust ¡ Stolen ¡hard ¡discs ¡with ¡hospital ¡data ¡sold ¡on ¡ebay, ¡(*) ¡ £90,000 ¡ NHS ¡Trust ¡ 59 ¡people’s ¡Data ¡faxed ¡to ¡wrong ¡no, ¡45 ¡Omes ¡ ¡ £70,000 ¡ Council ¡ 15 ¡social ¡work ¡files ¡stolen ¡from ¡employees ¡home ¡ £70,000 ¡ NHS ¡trust ¡ ¡ Persons ¡health ¡report ¡sent ¡to ¡wrong ¡person ¡ £70,000, ¡ Police ¡ ¡ Case ¡note ¡about ¡teenage ¡girl’s ¡rape ¡found ¡on ¡pavement ¡ (fell ¡out ¡of ¡police ¡car) ¡ £80,000 ¡ Council ¡ Personal ¡informaOon ¡sent ¡to ¡180 ¡people ¡too ¡many ¡by ¡ email ¡ £100,000 ¡ Council ¡ Sex ¡abuse ¡case ¡notes ¡stolen ¡from ¡a ¡London ¡pub ¡ www.derby.ac.uk

DPA Fines (2) £80,000, ¡ Council ¡ Child ¡case ¡notes ¡sent ¡to ¡wrong ¡person ¡ £140,000 ¡ Council ¡ Child ¡case ¡notes ¡sent ¡to ¡wrong ¡people ¡5 ¡Omes ¡ £130,000 ¡ Council ¡ Child ¡case ¡notes ¡sent ¡to ¡wrong ¡person ¡ £60,000, ¡ Council ¡ Child’s ¡serious ¡case ¡review ¡emailed ¡to ¡wrong ¡person ¡5 ¡Omes ¡ £80,000 ¡ Council ¡ Emailed ¡ ¡informaOon ¡about ¡a ¡large ¡number ¡of ¡vulnerable ¡ people ¡to ¡23 ¡unintended ¡recipients ¡ £120,000 ¡ Council ¡ SensiOve ¡informaOon ¡was ¡emailed ¡to ¡the ¡wrong ¡people, ¡thrice ¡ ¡ £1,000 ¡ Solicitor ¡ ¡ Hacked, ¡and ¡6000 ¡peoples ¡details ¡disclosed ¡(*) ¡ £80,000 ¡ Council ¡ ¡ Laptop ¡stolen ¡with ¡social ¡work ¡data ¡ No ¡Encryp*on ¡ £70,000, ¡ Council ¡ ¡ Laptop ¡stolen ¡with ¡social ¡work ¡data ¡ No ¡Encryp*on ¡ £60,000, ¡ company ¡ Laptop ¡stolen ¡with ¡24,000 ¡peoples ¡data ¡ No ¡Encryp*on ¡ £100,000 ¡ Council ¡ Faxed ¡child ¡abuse ¡notes ¡to ¡wrong ¡people, ¡twice ¡ www.derby.ac.uk

ICO Sourced numbers, by FOI Request, Feb 2011 Security Breaches Reported to the ICO Since November 2007 160 140 120 100 80 60 40 20 0 Central Gov Local Gov NHS Other Other Public Private Third Sector Telecoms Disclosed in Error Lost Data/ Hardware Lost in Transit Non-secure Disposal Stolen Data/ Hardware Technical/Procedural Failure Other www.derby.ac.uk

Table of numbers, for previous graph Non- Stolen Technical/ Disclosed Lost Data/ Lost in secure Data/ Procedural Grand Sector in Error Hardware Transit Disposal Hardware Failure Other Total 26 37 13 17 13 106 Local Gov 80 38 6 5 63 30 10 232 NHS 73 119 18 18 149 31 17 425 Other 12 7 1 10 3 2 35 Other Public 53 30 10 2 42 11 10 158 Private 120 69 16 11 117 54 19 406 Third Sector 11 12 1 16 6 3 49 Telecoms 3 2 1 2 1 9 Grand Total 378 314 65 36 415 150 62 1420 www.derby.ac.uk

Someone else asked the ICO % of cases leading to fines § 2% of cases reported result in a monetary penalty, 22 in 18 months, average of 1.22/month § About 700 a year do not result in a monetary penalty. www.derby.ac.uk

Then, these were released by Big Brother Watch www.derby.ac.uk

Methodology/Headlines § Send an FOI request to 434 Local Authorities § 91% answered, covering 3 Aug 2008 – 3 Aug 2011. 1035 incidents in 132 LA’s; only 55 reported to ICO. § Send an FOI request to 428 NHS Trusts § >80% answered, some partial answers: covering 25 th July 2008 to 25 th July 2011. 806 breaches reported, 1/day average occurred. www.derby.ac.uk

Examples of Local Authority incidents Name Event Info Lost Staff Council Derby Memory stick Password protected files, Training Apologised, names and encrypted mobile addresses of about 150 devices staff and service users Derby Memory stick No Confidential Data none none Derby care worker Care needs, names & Formal Care agency rota addresses warning warned/reminded Derbyshire CPRS staff Data relating to staff ? ? data appointments 07/08 Derbyshire Laptop sold to Council and Social Care ? public informed public data council & internal audit removed info Derbyshire Staff personal Staff records ? Notified Police info files stolen www.derby.ac.uk

Can we estimate frequency of Fine, reported breach etc? § Number of NHS FTE Staff September 30 2011 = 1,350,377 § NHS Fines/year = 5 § Staff Years worked per fine = 1,350,377/5 = 270,075 § (source, NHS Workforce Census, 2011) § Number of Higher Education FTE Staff 381,790 § HE Fines/year assuming same rate of Breach = 381,790/270,075 = 1.41 § (Source HESA, Statistics - Staff employed at UK HE institutions) § So, Assuming this is 2% of all HE Data Breaches, what does this equate to? § 1.414/2 x 100 = 71/year reportable to the ICO. § Big Brother watch suggests the NHS had 805 breaches in 3 years, or 268/ year: ICO records 405 reported in 4 years, 100/year. i.e about 66% are unreported. § Thus for HE we should have 142 incidents a year that are unreported or 213 annual breaches § Or ½ a reportable breach per HEI and 1.1 other breaches annually www.derby.ac.uk

Caveats 1. Not all NHS trusts answered the questionnaire, only 2/3 did 2. I have not cross checked if the fined NHS trusts are the ones that answered the Big Brother Watch FOI request 3. I have assumed 1. all NHS trusts and all HEI’s are uniformly sized. 2. All NHS Staff & HE Staff handle information that is similarly sensitive. 3. That HEI’s and the NHS report data breaches at the same rate 4. Data breaches are all equal and happen equally spaced throughout the year 4. I have not repeated the calculations for the Local Authority data, nor am I planning to submit FOI requests for this type of information to all HEI’s. Hence the title of this talk! www.derby.ac.uk

Conclusions § No common reporting requirement between HE & NHS, ICO excepted § No common reporting format or methodology § Statistics at best patchy and incomplete § At worst, statistics are misleading, dangerously so for the UK relating to lost data § No comparable figures available for private sector § Verizon DBIR report uses VERIS (Verizon Enterprise Risk and Incident Sharing (VERIS) framework) § Verizon also acknowledge these statistical issues, but it’s one of the few reports that’s internationally supported and had a constant methodology for a few years. www.derby.ac.uk

Wider Perspective & Discussion § Are my numbers even remotely close to your lived experience on data protection breaches?? § GCHQ et al advocating the SANS 20 Critical controls approach, which includes intelligence sharing § “Everyone” (at the RSA conference a couple of weeks ago) seemed to be advocating common interest groups sharing threat and incident intelligence § So what are we doing? Is anyone going to lead the confidential reporting and intelligence sharing for Higher Education? § Is it a Janet CSIRT thing or someone else? Who?? www.derby.ac.uk