RODO już obowiązuje, ale kar jak dotąd było niewiele. Powoli jednak to się zmienia, na co dowodem jest choćby grzywna nałożona na sieć hoteli Marriott. Niemała grzywna, dodajmy.
Właściciel sieci hoteli Marriott będzie musiał zapłacić 99 milionów funtów, czyli około 110 milionów euro – to jedna z pierwszych tak dotkliwych kar zasądzonych w wyniku złamania zasad zawartych w dyrektywie RODO / GDPR. Powodem jest w tym przypadku konkretnie wyciek danych 339 milionów gości, do którego doszło w ubiegłym roku.
Spośród tych 339 milionów rekordów około 30 milionów dotyczy Europejczyków, z czego 7 milionów to mieszkańcy Wielkiej Brytanii. Wśród wykradzionych informacji znajdowały się przede wszystkim dane osobowe, szczegóły dotyczące kart kredytowych oraz numery paszportów
Na czym konkretnie polega wina Marriotta? Otóż o tym, że padł ofiarą cyberataku, dowiedział się we wrześniu, a zgłoszenie incydentu nastąpiło dopiero w listopadzie. Tymczasem RODO wymusza ujawnienie takiej informacji w ciągu 72 godzin od odkrycia naruszenia.
„RODO jasno wskazuje, że organizacje muszą być odpowiedzialne za dane osobowe, które przetwarzają” – powiedziała brytyjska komisarz ds. informacji, Elizabeth Denham.
Problemy sieci rozpoczęły się, gdy jej właściciele przejęli Starwood, którego serwery zostały naruszone dwa lata wcześniej. – „Dochodzenie wykazało, że Marriott […] powinien zrobić więcej, aby zabezpieczyć swoje systemy”, jak możemy przeczytać w oświadczeniu ICO – Biura Komisarza ds. Informacji.
Marriot zamierza jednak odwołać się od wyroku, zwracając uwagę na otwartość i współpracę podczas dochodzenia wyjaśniającego.
Źródło: Forbes, The Guardian
Warto zobaczyć również:
Komentarze
5https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/
Sam nagłówek mówi, że kara jeszcze nie została nałożona a w dalszej treści czytamy:
"Marriott has co-operated with the ICO investigation and has made improvements to its security arrangements since these events came to light. The company will now have an opportunity to make representations to the ICO as to the proposed findings and sanction."
Tak więc kary nie było a Marriott nie będzie się odwoływał, bo nie ma od czego. Będzie współpracował.
Mnie osobiście poraża sposób zabezpieczenia danych, gdzie struktura aplikacji jest taka, że klient uzyskuje otwarty dostęp bezpośrednio do bazy danych. Ten dostęp powinien być realizowany przez identyfikator zalogowania, przez dostosowane API które nie umożliwia wykoniania select * from Tabelka; aby uzyskać komplet danych, albo wręcz po prostu zrzut (dump) bazy. Nie tak to się robi, jednak niemal każdy framework robi to właśnie tak. Brakuje dodatkowej warstwy izolacji jako dodatkowa warstwa aplikacji. Od biedy to można ograniczyć też przez użytkownika, i odwoływanie się przez konkretną funkcję która ograniczy zapytanie. A reszta powinna być wyblokowana. Tak niestety mało kto robi, a praktycznie nikt kto opiera się na MySQL bo ten silnik jest najpopularniejszy.