Po celom svete sa veľké spoločnosti a známe značky majú na pozore. Ak nebudú dodržiavať dostatočne silné bezpečnostné opatrenia, mohli by čeliť sankciám vo výške desiatok miliónov eur. Ako príklad si môžeme uviesť dve spoločnosti, ktoré už na svoju nedbalosť doplatili.
Sankcie pre spoločnosti v Anglicku
Úrad informačného komisára Spojeného kráľovstva Veľkej Británie a Severného Írska pokutoval spoločnosť British Airways za porušenie nariadenia GDPR až 183 miliónmi libier. Dôvodom bolo odhalenie platobných podrobností a osobných informácií u viac než 500 000 zákazníkov.
V tom istom týždni bola sankcionovaná aj globálna hotelová značka Marriott International za závažné porušenie bezpečnosti. Udelená pokuta dosiahla výšku 99 miliónov libier. Tento incident, ktorý sa odohral v roku 2018, mal za následok vystavenie viac ako 339 miliónov záznamov o hosťovaní hekerom.
Niekoľkoročný problém
Najviac zarážajúce je to, ako dlho trvalo spoločnosti Marriott, kým zistila veľkosť a rozsah narušenia ich bezpečnosti. Počiatok tejto udalosti sa datuje už od roku 2014, ešte pred tým, ako táto spoločnosť v roku 2016 kúpila inú spoločnosť Starwood Hotels. Zlyhanie Marriottu pri vykonávaní náležitých opatrení pri preberaní Starwood Hotels je nespochybniteľné.
Spoločnosť Marriott nebola schopná zistiť, že rezervačná databáza hostí Starwoodu bola v tom čase napadnutá hekermi. Nezistila ani to, že hekeri mali prístup k záznamom o hosťoch, ich platobným údajom a dokonca aj k osobným údajom z pasov. Hoci spoločnosť Marriott odhalila porušenie údajov v septembri 2018, na oznámenie čakala až do novembra 2018.
Milióny údajov v ohrození
Veľkosť a rozsah narušenia bezpečnosti spoločnosti Marriott je za niekoľko rokov skutočne rozsiahle. Zo začiatku spoločnosť uviedla, že bolo ohrozených 383 miliónov záznamov hostí, neskôr znížila tento počet na 339 miliónov. Ďalej bolo ohrozených 18,5 milióna šifrovaných čísel pasov, 5,25 milióna nekódovaných čísel pasov, 9,1 milióna šifrovaných čísel platobných kariet a 385 000 čísel platobných kariet platných v čase narušenia bezpečnosti.
Ako tomu predísť?
Organizácie musia implementovať bezpečnostné riešenia, ktoré skenujú a monitorujú nielen aktíva vlastnené a spravované spoločnosťou, ale aj všetky systémy tretích strán. Ich cieľom by malo byť nájdenie zraniteľných miest, ktoré by mohli byť potenciálne zneužité. Jediným spôsobom, ako sa vyhnúť porušeniam, a teda aj sankciám, je identifikácia a riešenie zraniteľných miest.