Lies, Damned Lies & Data Breach Statistics Tony Brookes - - PowerPoint PPT Presentation

Lies, Damned Lies & Data Breach Statistics

Tony Brookes

www.derby.ac.uk

I wondered how often people lose data

§ How likely are they to lose a memory stick or CD with enough data on it to bring us to the ICO’s attention. § I thought, how hard can it be. § There are lots of reports being published, they’ll have the statistics. § Won’t they?

www.derby.ac.uk

There are lots of reports available

www.derby.ac.uk

DBIR 2012 – How do breaches occur?

§ 855 incidents, 174 million compromised records § 81% utilized some form of hacking (+31%) § 69% incorporated malware (+20%) § 10% involved physical attacks (-19%) § 7% employed social tactics (-4%) § 5% resulted from privilege misuse (-12%)

www.derby.ac.uk

April 2012 PWC/BIS/InfoSec survey

www.derby.ac.uk

DPA Fines (1)

www.derby.ac.uk

£60,000 ¡ NHS ¡Trust ¡ Medical ¡records ¡sent ¡to ¡the ¡wrong ¡address. ¡ £150,000 ¡ Company ¡ Laptop ¡stolen ¡with ¡500,000 ¡customer ¡records ¡No ¡Encryp*on ¡ £225,000 ¡ NHS ¡Trust ¡ 1000’s ¡hospital ¡records ¡leD ¡laying ¡about ¡in ¡closed ¡ buildings ¡ £90,000 ¡ Council ¡ Two ¡social ¡care ¡reports ¡sent ¡to ¡wrong ¡people ¡(*) ¡ £325,000 ¡ NHS ¡Trust ¡ Stolen ¡hard ¡discs ¡with ¡hospital ¡data ¡sold ¡on ¡ebay, ¡(*) ¡ £90,000 ¡ NHS ¡Trust ¡ 59 ¡people’s ¡Data ¡faxed ¡to ¡wrong ¡no, ¡45 ¡Omes ¡ ¡ £70,000 ¡ Council ¡ 15 ¡social ¡work ¡files ¡stolen ¡from ¡employees ¡home ¡ £70,000 ¡ NHS ¡trust ¡ ¡ Persons ¡health ¡report ¡sent ¡to ¡wrong ¡person ¡ £70,000, ¡ Police ¡ ¡ Case ¡note ¡about ¡teenage ¡girl’s ¡rape ¡found ¡on ¡pavement ¡ (fell ¡out ¡of ¡police ¡car) ¡ £80,000 ¡ Council ¡ Personal ¡informaOon ¡sent ¡to ¡180 ¡people ¡too ¡many ¡by ¡ email ¡ £100,000 ¡ Council ¡ Sex ¡abuse ¡case ¡notes ¡stolen ¡from ¡a ¡London ¡pub ¡

DPA Fines (2)

www.derby.ac.uk

£80,000, ¡ Council ¡ Child ¡case ¡notes ¡sent ¡to ¡wrong ¡person ¡ £140,000 ¡ Council ¡ Child ¡case ¡notes ¡sent ¡to ¡wrong ¡people ¡5 ¡Omes ¡ £130,000 ¡ Council ¡ Child ¡case ¡notes ¡sent ¡to ¡wrong ¡person ¡ £60,000, ¡ Council ¡ Child’s ¡serious ¡case ¡review ¡emailed ¡to ¡wrong ¡person ¡5 ¡Omes ¡ £80,000 ¡ Council ¡ Emailed ¡ ¡informaOon ¡about ¡a ¡large ¡number ¡of ¡vulnerable ¡ people ¡to ¡23 ¡unintended ¡recipients ¡ £120,000 ¡ Council ¡ SensiOve ¡informaOon ¡was ¡emailed ¡to ¡the ¡wrong ¡people, ¡thrice ¡ ¡ £1,000 ¡ Solicitor ¡ ¡ Hacked, ¡and ¡6000 ¡peoples ¡details ¡disclosed ¡(*) ¡ £80,000 ¡ Council ¡ ¡ Laptop ¡stolen ¡with ¡social ¡work ¡data ¡No ¡Encryp*on ¡ £70,000, ¡ Council ¡ ¡ Laptop ¡stolen ¡with ¡social ¡work ¡data ¡No ¡Encryp*on ¡ £60,000, ¡ company ¡ Laptop ¡stolen ¡with ¡24,000 ¡peoples ¡data ¡No ¡Encryp*on ¡ £100,000 ¡ Council ¡ Faxed ¡child ¡abuse ¡notes ¡to ¡wrong ¡people, ¡twice ¡

ICO Sourced numbers, by FOI Request, Feb 2011

www.derby.ac.uk Security Breaches Reported to the ICO Since November 2007

20 40 60 80 100 120 140 160 Central Gov Local Gov NHS Other Other Public Private Third Sector Telecoms

Disclosed in Error Lost Data/ Hardware Lost in Transit Non-secure Disposal Stolen Data/ Hardware Technical/Procedural Failure Other

Table of numbers, for previous graph

www.derby.ac.uk

Sector Disclosed in Error Lost Data/ Hardware Lost in Transit Non- secure Disposal Stolen Data/ Hardware Technical/ Procedural Failure Other Grand Total 26 37 13 17 13 106 Local Gov 80 38 6 5 63 30 10 232 NHS 73 119 18 18 149 31 17 425 Other 12 7 1 10 3 2 35 Other Public 53 30 10 2 42 11 10 158 Private 120 69 16 11 117 54 19 406 Third Sector 11 12 1 16 6 3 49 Telecoms 3 2 1 2 1 9 Grand Total 378 314 65 36 415 150 62 1420

Someone else asked the ICO % of cases leading to fines

§ 2% of cases reported result in a monetary penalty, 22 in 18 months, average

• f 1.22/month

§ About 700 a year do not result in a monetary penalty.

www.derby.ac.uk

Then, these were released by Big Brother Watch

www.derby.ac.uk

Methodology/Headlines § Send an FOI request to 434 Local Authorities § 91% answered, covering 3 Aug 2008 – 3 Aug 2011. 1035 incidents in 132 LA’s; only 55 reported to ICO. § Send an FOI request to 428 NHS Trusts § >80% answered, some partial answers: covering 25th July 2008 to 25th July 2011. 806 breaches reported, 1/day average occurred.

www.derby.ac.uk

Examples of Local Authority incidents

www.derby.ac.uk

Name Event Info Lost Staff Council Derby Memory stick Password protected files, names and addresses of about 150 staff and service users Training Apologised, encrypted mobile devices Derby Memory stick No Confidential Data none none Derby care worker rota Care needs, names & addresses Formal warning Care agency warned/reminded Derbyshire CPRS staff data Data relating to staff appointments 07/08 ? ? Derbyshire Laptop sold to public Council and Social Care data ? public informed council & internal audit removed info Derbyshire Staff personal info files stolen Staff records ? Notified Police

Can we estimate frequency of Fine, reported breach etc?

§ Number of NHS FTE Staff September 30 2011 = 1,350,377 § NHS Fines/year = 5 § Staff Years worked per fine = 1,350,377/5 = 270,075

§ (source, NHS Workforce Census, 2011)

§ Number of Higher Education FTE Staff 381,790 § HE Fines/year assuming same rate of Breach = 381,790/270,075 = 1.41

§ (Source HESA, Statistics - Staff employed at UK HE institutions)

§ So, Assuming this is 2% of all HE Data Breaches, what does this equate to? § 1.414/2 x 100 = 71/year reportable to the ICO. § Big Brother watch suggests the NHS had 805 breaches in 3 years, or 268/ year: ICO records 405 reported in 4 years, 100/year. i.e about 66% are unreported. § Thus for HE we should have 142 incidents a year that are unreported or 213 annual breaches § Or ½ a reportable breach per HEI and 1.1 other breaches annually

www.derby.ac.uk

Caveats

• 1. Not all NHS trusts answered the questionnaire, only 2/3 did
• 2. I have not cross checked if the fined NHS trusts are the ones that answered

the Big Brother Watch FOI request

• 3. I have assumed
• 1. all NHS trusts and all HEI’s are uniformly sized.
• 2. All NHS Staff & HE Staff handle information that is similarly sensitive.
• 3. That HEI’s and the NHS report data breaches at the same rate
• 4. Data breaches are all equal and happen equally spaced throughout the

year

• 4. I have not repeated the calculations for the Local Authority data, nor am I

planning to submit FOI requests for this type of information to all HEI’s. Hence the title of this talk!

www.derby.ac.uk

Conclusions

§ No common reporting requirement between HE & NHS, ICO excepted § No common reporting format or methodology § Statistics at best patchy and incomplete § At worst, statistics are misleading, dangerously so for the UK relating to lost data § No comparable figures available for private sector § Verizon DBIR report uses VERIS (Verizon Enterprise Risk and Incident Sharing (VERIS)

framework)

§ Verizon also acknowledge these statistical issues, but it’s one of the few reports that’s internationally supported and had a constant methodology for a few years.

www.derby.ac.uk

Wider Perspective & Discussion

§ Are my numbers even remotely close to your lived experience on data protection breaches?? § GCHQ et al advocating the SANS 20 Critical controls approach, which includes intelligence sharing § “Everyone” (at the RSA conference a couple of weeks ago) seemed to be advocating common interest groups sharing threat and incident intelligence § So what are we doing? Is anyone going to lead the confidential reporting and intelligence sharing for Higher Education? § Is it a Janet CSIRT thing or someone else? Who??

www.derby.ac.uk