123 miliony dolarów – tyle wynosi proponowana wysokość grzywny, którą brytyjski odpowiednik UODO ma zamiar nałożyć na sieć hoteli Marriott za wyciek danych około 339 mln gości.

– Nie tylko światowi giganci powinni uważać. Dotychczas niemal połowa polskich firm poniosła straty finansowe w wyniku ataku cybernetycznego. Dodając do tego kary grożące za naruszenie bezpieczeństwa danych klientów, taki incydent może być poważnym wyzwaniem dla budżetu przedsiębiorstwa – zauważa Mariusz Rzepka, Senior Manager Eastern Europe w Sophos.

 

Jak nie znaleźć się na celowniku UODO?

1. Naprawiaj wcześnie, naprawiaj często. Ryzyko cyberataku można zminimalizować poprzez regularne audyty bezpieczeństwa i usprawnianie słabych stron systemów, które mogą zostać wykorzystane przez cyberprzestępców.

2. Zabezpieczaj dane osobiste w chmurze. Usługi chmurowe powinny być traktowane jak każdy inny komputer, zatem należy w nich zamykać wszelkie nadmiarowe porty i wyłączać niepotrzebne usługi, a także szyfrować dane i kontrolować uprawnienia. Warto wykonywać te działania we własnych środowisku operacyjnym.

3. Zminimalizuj możliwość uzyskania dostępu do danych osobistych. Im więcej danych, tym bardziej wartościowy jest cel cyberataku. Zbieranie i przechowywanie tylko tych informacji, które są najbardziej potrzebne, minimalizuje nie tylko nakład pracy związany z przestrzeganiem zasad RODO, ale również zmniejsza wartość twojej firmy jako celu dla cyberprzestępców.

4. Edukuj i szkol pracowników. Każdy, kto ma jakikolwiek kontakt z danymi osobistymi, powinien wiedzieć, jak z nimi pracować i na co zwracać uwagę.

5. Dokumentuj działania związane z przetwarzaniem danych. Warto pokazać, że firma dba o dane osobowe i podejmuje kroki związane z ich ochroną. W razie naruszenia łatwiej będzie przeanalizować, w jaki sposób do niego doszło oraz wyciągnąć wnioski na przyszłość.

 

Dotychczas UODO nałożył dwie kary za naruszenie przepisów RODO. Prawie 1 mln zł (943 tys. zł) ma zapłacić spółka, która dopuściła się nieprawidłowości przy przetwarzaniu w celach zarobkowych danych osób pozyskanych ze źródeł publicznie dostępnych, m.in. z CEiDG.

Karę w wysokości 56 tys. zł nałożono na związek sportowy za udostępnienie w internecie danych osobowych sędziów.