MojAndroid

Najnovší prípad sa týka známej siete hotelov MARRIOTT, ktorý po vyšetrovaní zo strany britského úradu na ochranu osobných údajov vychádza zatiaľ s návrhom na pokutu vo výške až 99 miliónov libier.

Nedostatočná ochrana

Celý prípad má určitý paradox, aj keď je to paradox, ktorý je v Nariadení o GDPR jasné definovaný. A tým je povinnosť nahlásiť národnému úradu, ktorý kontroluje dodržiavanie pravidiel GDPR incident, teda nahlásiť sám seba, že som nedodržal pravidlá pre ochranu osobných údajov. Tak isto postupovala aj spoločnosť Marriott, keď v novembri 2018 oznámila britskému úradu na ochranu osobných údajov (ICO), že sa v ich sieti stal kybernetický útok, ktorý spôsobil ohrozenie a porušenie práv klientov v celkovom počte až 30 miliónov zákazníkov z 31 krajín. Samotný Marriott teda nahlásil práve to, že jeho systém po útoku z vonku neodolal a dáta zákazníkov prevzal útočník.

Celý problém vyzerá, že sa mal vyriešiť jednoducho, Marriott proste nemal zodpovednosť za tretiu stranu, ktorá útok na jeho systém uskutočnila. Vyšetrovanie však ukázalo opak a záver je dobrým poučením pre každého. Britský úrad totiž uzavrel kauzu s tým, že už v roku 2016, keď Marriott kupoval sieť Starwood, táto bola dva roky nedostatočne chránená interne voči útoku. A malo byť prvou povinnosťou Marriottu, aby pri prevedenej databáze vykonal všetky opatrenia na zistenie stavu bezpečnosti ich systémov, kde sú dáta miliónov zákazníkov a ak by boli nedostatočné, mal práve Marriott vykonať nápravu a zabezpečenie. Vyšetrovatelia tak uznali, že zabezpečenie bolo v danom prípade nedostatočné a preto sa umožnilo aj tretej strane do systému nabúrať a dáta prevziať.

Úrad vydal k prípadu aj oficiálne vyhlásenie:

„Osobné údaje majú skutočnú hodnotu, takže organizácie majú zákonnú povinnosť zabezpečiť ich bezpečnosť, rovnako ako by to robili s akýmkoľvek iným majetkom. Ak sa tak nestane, nebudeme váhať podniknúť dôrazné kroky, ak je to potrebné na ochranu práv verejnosti.“

Počas vyšetrovania sa Marriott dostal aj k novým zabezpečeniam, ktoré regulačný úrad oceňuje a majú zmeniť stav, ktorý v zásade v databáze trval od roku 2014 a spôsobil jej veľkú zraniteľnosť. Pokute však už nezamedzia.

Poučenie pre každého

Aj tento prípad ukazuje, ako ďaleko môže zájsť povinnosť vykonať všetky vhodné opatrenia. Tie sa môžu ukázať ako neúčinné práve vtedy, keď sa pri vyšetrovaní ukáže, že útok mal svoju cestu uľahčenú vďaka tomu, že správca databázy nevykonal všetky vhodné opatrenia. A to, ktoré sú vhodné, sa posudzuje obtiažne. Je však odporúčané, aby boli nastavené všetky na trhu dostupné riešenia a tým bude možnosť na ne vždy poukázať v prípade preverovania úniku alebo incidentu. Výšky pokút sú pri veľkých databázach v miliónoch, čo je pre každú spoločnosť citeľný zásah.

zdroj foto: ico.org.uk

12.7.2019
  • Kukucar

    na Slovensku je to zatiaľ ťažká pohodka, UOOU chráni smeráckych vagabundov dokonca aj v zdravotníctve. Podal som podnet na isté zdravotnícke zariadenie, kde sa ochrana osobných údajov katastrofálne nedodržiava, avšak nič sa nedeje už pol roka…

+