500 tysięcy funtów kary za niezabezpieczenie danych 14 milionów osób

DSG Retail to spółka zajmująca się sprzedażą elektroniki w ramach sklepów takich jak Currys PC World i Dixons Travel. W okresie od czerwca do listopada 2018 r. ICO otrzymało 158 skarg od klientów spółki w związku z incydentem bezpieczeństwa informacji a DSG otrzymało ich aż 3000 od marca 2019 r. Na skutek działania złośliwego oprogramowania zainstalowanego na ponad 5 tysiącach kas w ww. sklepach, doszło do wycieku danych 14 milionów klientów. Za pośrednictwem złośliwego oprogramowania w okresie od lipca 2017 r. do kwietnia 2018 r. pozyskiwano dane z baz będących w posiadaniu spółki zawierających imiona, nazwiska, kody pocztowe, adresy e-mail oraz niektóre informacje dotyczące kart płatniczych. Skuteczność cyberataku jest skutkiem w dużej mierze braku adekwatnych środków bezpieczeństwa oraz łamaniem przez firmę wytycznych ujętych w brytyjskiej ustawie o ochronie danych osobowych (Data Protection Act 2018).

Uchybienia obejmowały m.in.: nieposiadanie lokalnej zapory ogniowej, nieodpowiednie poprawki do oprogramowania, nieprzeprowadzanie rutynowych testów bezpieczeństwa czy segregacji sieci. Przeprowadzony przez ICO audyt wskazał również braki w fundamentalnych kwestiach dotyczących zabezpieczeń danych klientów. Jak wskazał Steve Eckersley, pełniący funkcję dyrektora dochodzeniowego w brytyjskim organie nadzoru, gdyby kara finansowa była nałożona na gruncie RODO, wówczas byłaby zdecydowanie wyższa. 500 000 funtów stanowiło maksymalną grzywnę, jaką można było nałożyć na bazie poprzednio obowiązującego aktu normatywnego. P. Eckersley zaznaczył, że braki w zabezpieczeniach na tak podstawowym poziomie świadczą o lekceważeniu bezpieczeństwa klientów przez firmę, a skradzione dane mogą zwiększyć ryzyko narażenia poszkodowanych na oszustwa.

Ataki wymierzone w słabości systemów oraz sieci, w miarę nieustannego rozwoju technologicznego, stają się zjawiskiem coraz powszechniejszym, ale są również bardziej złożone i przemyślane. Wiedza dotycząca sposobu przeprowadzania takich działań jest łatwo dostępna a dedykowane temu narzędzia są coraz bardziej rozbudowane. Wartość danych osobowych, które to najczęściej padają łupem ataków, również stale rośnie. Tym bardziej, że drastycznie zwiększa się liczba urządzeń, aplikacji oraz funkcjonalności w ramach których są one używane. Przeciętny smartfon przechowuje całą paletę danych umożliwiających identyfikację użytkownika w tym imię, nazwisko, datę urodzenia, dane kart kredytowych, dane wizerunkowe, a nawet dane biometryczne w postaci linii papilarnych, przy pomocy których dokonywane są płatności. Powszechność zagrożeń oraz fakt, że każde urządzenie stanowi swoistą „bazę danych”, sprawia, że przed administratorami danych pojawiają się zupełnie nowe wyzwania. Kwestie bezpieczeństwa informacji muszą stanowić absolutny priorytet już na etapie planowania działalności.

Źródło: portal gdpr.pl




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
zbada Twoje potrzeby i uruchomi dostęp

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Zasady przetwarzania danych osobowych