123 miliony dolarów – tyle wynosi proponowana wysokość grzywny, którą brytyjski odpowiednik Urzędu Ochrony Danych Osobowych (UODO) ma zamiar nałożyć na amerykańską sieć hoteli Marriott za wyciek danych około 339 milionów gości z całego świata. Na co uważać w codziennych działaniach, aby nie narazić się Urzędowi Ochrony Danych Osobowych i uniknąć wysokiej kary pieniężnej?
– RODO to regulacja, której celem jest ochrona obywateli Unii Europejskich, a jej przestrzeganie jest obowiązkiem każdej organizacji, nawet jeśli nie działa ona na terenie Unii Europejskiej – wystarczy, że z jej usług korzystają mieszkańcy jednego z krajów członkowskich. Działania firm są dokładnie weryfikowane przez odpowiednie urzędy, a naruszenia surowo karane. Pierwsza kara za naruszenie zasad RODO została przyznana w styczniu 2019 roku przez francuski urząd ochrony danych osobowych – Commission Nationale de l’Informatique et des Libertés – na sprzedawcę okularów przeciwsłonecznych. Grzywna dla Optical Center wyniosła 250 000 euro, ponieważ firma zaniechała zabezpieczenia danych klientów składających zamówienia online, takich jak krajowy numer identyfikacyjny – odpowiednik naszego PESEL-u – wyjaśnia Mariusz Rzepka, Senior Manager Eastern Europe w Sophos.
Grzywna na sieć hoteli Marriott miałaby być nałożona przez Information Commissioner’s Office, brytyjski odpowiednik UODO, za wyciek danych ponad trzystu milionów gości z całego świata, w tym z Unii Europejskiej. Proponowana wysokość kary wynosi 123 miliony dolarów. Jak się okazało, nieautoryzowany dostęp do bazy danych firmy Starwood (obecnie część sieci hoteli) nastąpił w 2014 roku – dwa lata przed jej zakupem przez Marriott. Sprawę wykryto i zgłoszono do ICO dopiero w 2018 roku.
– Nie tylko światowi giganci powinni uważać. W przypadku Marriotta, sytuacja jest o tyle trudna, że włamanie do bazy danych spółki nastąpiło jeszcze przed jej nabyciem. To pokazuje, jak ważna jest świadomość zagrożeń i luk w istniejącej infrastrukturze informatycznej. Nie należy również zapominać o stałej czujności. Dotychczas niemalże połowa polskich firm poniosła straty finansowe w wyniku ataku cybernetycznego. Dodając do tego kary grożące za naruszenie bezpieczeństwa danych klientów, taki incydent może być poważnym wyzwaniem dla budżetu przedsiębiorstwa – zauważa Mariusz Rzepka.
Jak uniknąć znalezienia się na celowniku UODO?
- Naprawiaj wcześnie, naprawiaj często. Ryzyko cyberataku można zminimalizować poprzez regularne audyty bezpieczeństwa i usprawnianie słabych stron systemów, które mogą zostać wykorzystane przez cyberprzestępców. W tej grze wszystko ma znaczenie, a stawka jest wysoka.
- Zabezpieczaj dane osobiste w chmurze. Usługi chmurowe powinny być traktowane jak każdy inny komputer, zatem należy w nich zamykać wszelkie nadmiarowe porty i wyłączać niepotrzebne usługi, a także szyfrować dane i kontrolować uprawnienia. Warto wykonywać te działania we własnych środowisku operacyjnym.
- Zminimalizuj możliwość uzyskania dostępu do danych osobistych. Im więcej danych, tym bardziej wartościowy jest cel cyberataku. Zbieranie i przechowywanie tylko tych informacji, które są najbardziej potrzebne, minimalizuje nie tylko nakład pracy związany z przestrzeganiem zasad RODO, ale również zmniejsza wartość Twojej firmy jako celu dla cyberprzestępców.
- Edukuj i szkol pracowników. Każdy, kto ma jakikolwiek kontakt z danymi osobistymi, powinien wiedzieć, jak z nimi pracować i na co zwracać uwagę.
- Dokumentuj działania związane z przetwarzaniem danych. Warto pokazać, że firma dba o dane osobiste i podejmuje konkretne kroki związane z ich ochroną. Gdy dojdzie do naruszenia, łatwiej będzie przeanalizować, w jaki sposób do niego doszło oraz wyciągnąć wnioski na przyszłość.
