2020 legnagyobb GDPR bírságai

2020 legnagyobb GDPR bírságai

A GDPR, vagyis a személyes adatok védelmére kitalált európai szabályozás 2018 májusa óta érvényes. Azóta több, rekordösszegű bírságot is kiszabtak, az első ötről írunk mostani cikkünkben.

A Tessian összefoglalta a 2020-as év 10 legnagyobb bírságját, amelyet különböző okokból többnyire nagyvállalatokra szabtak ki az európai adatvédelmi hatóságok. Az első részben az öt legnagyobb adatvédelmi bírságot és annak okait soroljuk fel, sorozatunk második részében pedig fennmaradó öttel foglalkozunk.

Ha el szeretnénk kerülni a hasonló bírságok kiszabását, akkor többek között foglalkozzunk a leselejtezett számítógépek, adathordozók adataival is. Mielőtt kikerülnének szervezetünk falai közül, minősített megoldással fertőtlenítsük adatainkat vagy bízzuk profi vállalkozásokra, aki szakszerűen és az előírásoknak megfelelően adatfertőtleníti az eszközöket, szigorúan GDPR kompatibilisen. Egy ilyet ismerünk is, a Data D.

1. Google – 50 millió euró

A Google büntetése technikailag még 2019-ből származik, de a vállalat fellebbezett ellene. A francia hatóságok 2020 őszén visszautasították a keresőóriás fellebbezését, és így az igazán óriási büntetés érvényes maradt. A Google-ra azért szabták ki ezt a bírságot, mert a hatóságok szerint nem közölte eléggé érthetően, hogyan gyűjtötték össze és használták fel a reklámok elhelyezésére a felhasználók személyes adatait.

2. H&M – 35 millió euró

A ruhakereskedőt a német adatvédelmi hatóságok büntették meg. Az áruházlánc tulajdonos ugyanis többszáz alkalmazottjáról gyűjtött rengeteg személyes adatot. Például betegszabadság vagy vakáció után kikérdezték alkalmazottjaikat arról, hogy pontosan milyen betegségben szenvedtek, miket csináltak szabadságuk alatt.

Ezeket az adatoka összegyűjtötték és több mint 50 menedzser számára elérhetővé tették. Az információk alapján döntöttek egy-egy alkalmazott előléptetéséről is. A GDPR szerint a minimálisan szükséges személyes adatot lehet összegyűjteni. Az egészségügyi adatok kiemelten szenzitív információknak számítanak.

3. Telecom Italia – 27,8 millió euró

A bírságot még 2020 elején, pontosan január 15-én szabta ki az olasz adatvédelmi hatóság. Az összeg azért ilyen nagy, mert az olasz távközlési szolgáltató több éven keresztül agresszív marketing tevékenységet folytatott, milliós nagyságrendű kéretlen hívásokat indítottak még olyan emberek felé is, akik kifejezetten letiltották a marketing jellegű megkereséseket.

4. British Airways – 22 millió euró

A bírságot a brit adatvédelmi hatóság szabta ki egy 2018-ban történt hackertámadásért. A támadásban 400 ezer ügyféladat szivárgott ki, fizetési adatokkal, ügyfélnevekkel, címekkel. A hatóságok szerint a támadás megelőzhető lett volna, ha a légitársaság jobban odafigyel a biztonságra. A cégnél olyan alapvető IT biztonsági technikák sem voltak elérhetőek, mint például a kétfaktoros azonosítás.

5. Mariott – 20,4 millió euró

Eredetileg 100 millió eurós bírságot tervezett a brit adatvédelmi hatóság kiszabni, de végül a hotellánc vállalásai miatt 20,4 millió euróra csökkentették ezt az összeget. A Mariott egy hackertámadás miatt elveszítette 383 millió vendégének az adatait, ebből 30 millió európai lakos volt. A támadásban olyan adatok váltak elérhetővé a nyilvánosság számára, mint nevek, lakcímek, útlevélszámok és banki fizetési információk.

A támadók eredetileg a Starwood csoport foglalási rendszerébe jutottak be, még 2014-ben. A Mariott 2016-ban vásárolta meg a céget, a támadást viszont csak két évvel később, 2018 szeptemberében fedezték fel. Vagyis a vállalat nem volt eléggé körültekintő biztonsági szempontból, nem volt a vállalatnál adatszivárgást megelőző (data loss prevention) megoldása sem.

Tudatosabban vásárolunk mobiltelefonhoz tartozékokat

A környezetvédelmi szempontok is befolyásolják, hogy milyen kiegészítőket vásárolunk mobiltelefonunk mellé. Egy mobiltelefon mellé átlagosan öt kiegészítőt használunk.

A MediaMarkt és a Cellect hazai mobiltelefon kiegészítők piacát vizsgáló felméréséből kiderül, hogy a fogyasztók többnyire a készülék megvédését tartják szem előtt, amikor tartozékokat vásárolnak. Ez valahol érthető is, hiszem a mai telefonok több tízezer forintba kerülnek, van mit védeni.

Tokot, töltőt veszünk

Szinten mindenki (97 százalék) mobiltelefontokot vásárol, de sokan vásárolnak (90 százalék) kiegészítő töltőt is a telefon mellé, legyen az vezetékes vagy vezeték nélküli megoldás. A harmadik legnépszerűbb kiegészítő a védőfólia, a megkérdezettek 76 százaléka vásárol ehhez hasonlót. És mivel egy telefon fontos multimédia központ, az emberek közel háromnegyede (70 százaléka) egy sztereó fej- vagy fülhallgatót is vásárol.

Mindez azt jelenti, hogy a hazai fogyasztók átlagosan 5,4 darab mobiltelefon tartozékkal rendelkeznek. A még be nem szerzett, ámde kívánatos kiegészítők listáján a Bluetooth headsetek, az aktivitásmérő eszközök és harmadik helyen az okosórák szerepelnek. Az okosórák relatíve drága kiegészítők, de a kényelmi és az egészséget támogató funkciói miatt kedvelt eszközök.

Az is fontos, hogy zöld legyen

Már a járvány előtti időkben is megfigyelhető tendencia volt, hogy a vásárlók egyre tudatosabban, környezetbarát szempontokat is mérlegelve emeltek le egy-egy terméket a polcról. A járványnak is köszönhetően a fogyasztói tudatosság még tovább erősödött.

Ezt támasztja alá a felmérés eredménye is; mobiltelefon tartozék választásakor a vásárlók döntését az ár (86 százalék) és a praktikum (55 százalék) mellett a környezetvédelem (33 százalék) határozza meg leginkább. A zöld megfontolások a harmadik legfontosabb érv lett.  A márka (30 százalék) és az ajánlás ereje (23 százalék) hátrébb került.

A háttértudás sem hiányzik

A kutatás kiderítette, hogy a megfelelő háttértudás sem hiányzik a magyar fogyasztókból. Minden második válaszadó helyesen tudta például, hogy egy teljesen komposztálható tok a környezetben 6-24 hónap alatt lebomlik, míg műanyag társa 200 évnél tovább is terheli a környezetet.

A vásárlók 70 százaléka egy hagyományos és egy környezetbarát tok esetén, azonos ár mellett a zöld tokot választaná. Tízből három vásárló magasabb árat is hajlandó lenne fizetni a környezet védelméért. A felmérés szerint átlagosan két évig használunk egy mobiltelefon tokot, így tényleg nem mindegy, hova kerül a leselejtezett védőeszköz.

Az újrahasznosítás gondot jelent

A bonyolultabb mobiltelefon tartozékok újrahasznosítása már többször fejtörést okoz. A válaszadók 92 százalékának fontos, vagy kiemelten fontos, hogy a mobiltelefon tartozékot életciklusa végén ugyanazon az értékesítési ponton gyűjtsék és hasznosítsák újra, ahol azt megvásárolták.

 

Közel 300 millió eurónyi GDPR bírságot szabtak ki eddig

A GDPR hatályba lépése óta Európa szerte az adatvédelmi hatóságok több mint 272,5 millió eurónyi büntetést szabtak ki a különböző esetekben – az igazán combos bírságok az olasz és a német hatóságok munkáját dicséri.

 

A DLA Piper ügyvédi iroda 2021 elején is összesítette a GDPR hatályba lépése óta kiszabott bírságokat, kutatásuk szerint összese 272,5 millió eurós bírságot szabtak ki a különböző hatóságok.

Olasz, német és francia rekordok

A legkeményebb hatóság az olasz, aki 2018. május 25. óta 69,3 millió eurónyi bírságot állapított meg, második Németország 69,1 millió euróval, harmadik a listán Franciaország 54,4 millió euróval. Magyarországon az adatvédelmi hatóság összesen 980 ezer eurónyi bírságot szabott ki a GDPR megsértése miatt, ezzel az összeggel a tizedik helyezettek vagyunk a listán.

Lakosságarányosan más a szorgalmas

Sokkal érdekesebb megnézni, hogy lakosság arányosan melyik ország osztogatja szorgalmasan a bírságokat: idén Dánia, 155,6-os pontszámmal az első, második helyezett Hollandia 150-es pontszámmal és Írország 127,8 ponttal. Hazánk 8,5 ponttal a 18. ezen a listán. Egyébként egy év alatt, 2020 januárja és 2021 januárja között itthon 826 GDPR incidenst jelentettek Magyarországon, egy évvel korábban csupán 479-et.

A rekordösszegű bírságok

A rekordösszegű bírságokat a francia, német és olasz hatóságok szabták ki. A franciák a Google-ra haragudtak meg nagyon 2019 januárjában, mert a szolgáltató a felhasználói hozzájárulásokat nem megfelelően kezelte.

A második helyezett ezen a listán a németek, akik a H&M ruhaáruház alkalmazottjaival kapcsolatos adatgyűjtési gyakorlatát tartották annyira rossznak, hogy 2020 októberében 35,26 millió eurós bírsággal örvendeztették meg őket.

Az olaszok pedig 27,8 millió eurós büntetéssel kedveskedtek az Italian Telecom távközlési szolgáltatónak: a vállalat nem volt eléggé transzparens adatkezelési gyakorlatában, nem volt elegendő törvényi alapja a személyes adatok feldolgozására, nem voltak megfelelőek a technikai és szervezeti feltételek GDPR szempontból.

A teljes tanulmány ezen a linken érhető el, adataink megadása után ingyenesen letölthető.

 

17 igen komoly adatbiztonsági incidens a brit Igazságügyi Minisztériumnál

A 2019-2020-as éves jelentés szerint a brit Igazságügyi Minisztériumnál összesen 17 darab, meglehetősen komoly biztonsági incidenst regisztráltak, ami több mint 120 ezer ember adatait érintette.

A Parliament Street nevű agytröszt elemzése szerint az érintett brit minisztérium igencsak lazán kezelte a rá bízott adatokat: egy év alatt 17 komoly biztonsági incidens történt a hivatalban, ami rengeteg ember, több mint 120 ezer lakos adatait érintette. További 6452 esetben olyan adatincidens történt, ami ugyan aggasztó, de nem volt elég komoly ahhoz, hogy az adatvédelmi biztosnak jelentsék azokat.

Emberi lustaság az ok

A komoly incidensek hátterében legtöbb esetben nem külső hackertámadás áll, hanem azok emberi lustaságot takarnak, hanyag viselkedésre vezethetők vissza és a szabályok be nem tartása miatt fordulhattak elő. Például sok esetben veszítettek el nem titkosított USB adathordozókat, vagy bizalmas adatokkal teli emaileket nem megfelelő embereknek küldtek. Az is előfordult, hogy okostelefonokat és mobilokat a hivatalos autókból vagy egyszerűen az alkalmazottak otthonából loptak el.

Hardverhiba is adódott

Egy igen komoly esetben az egyik alprocesszor meghibásodása miatt azonosíthatatlan felhasználók számára is elérhetővé váltak az alkalmazottak oktatásával kapcsolatos adatbázisok, fájlok. Az incidens során egy adatbázist kétszer töltöttek le nem jogosult felhasználók: egyszer a teljes adatmennyiség a kezükbe került, a másik esetben csupán a fél adatbázist tudták lementeni.

A többi 6425 jelentési kötelezettség nélküli incidens során például illetéktelen személyek tudtak meg hivatali titkokat. Az viszont aggasztó, hogy 823 esetben nem megfelelően védett elektronikus berendezéseket, eszközöket vagy papír alapú dokumentumokat veszítettek el az alkalmazottak.

Csökkentsük a kockázatokat!

Lássuk be, tévedni emberi dolog. Azonban a vállalat felelőssége a kockázatokat csökkenteni, például azzal, hogy időben és megfelelően kezelik a különböző elektronikai eszközökön, adattárolókon lévő adatokat. Így, ha azok idegenek kezébe is kerülnek, a megfelelő adattörlési és adatfertőtlenítési procedúrák miatt mindenki nyugodt maradhat, hogy legalább az adatok vállalaton belül maradnak.

Titkosított adatokat dolgozhatunk fel az FHE segítségével

A Fully Homomorphic Encryption titkosítási technológia segítségével úgy dolgozhatjuk fel a szenzitív adatokat is, hogy azok mindvégig titkosítva maradnak.

Az IBM dolgozta ki és december végén dobta a piacra a Fully Homomorphic Encryption (FHE) nevű titkosítási eljáráson alapuló szolgáltatásokat. A vállalatokat megcélzó szolgáltatásokkal azért sietett a kék óriás, hogy a cégek megismerjék az FHE titkosítás lényegét és erre alapozva dolgozzák ki a saját iparágukra jellemző eljárásokat, szolgáltatásokat.

Az adat mindig titkosított marad

A technológiát szélesebb körben 2020 nyarán ismertette az IBM, akkor mi is írtunk róla bővebben. A titkosítási eljárás lényege, hogy az adatok nemcsak utazás vagy tárolás közben, hanem feldolgozásuk alatt is titkosítottak maradhatnak. Így a főként szenzitív adatokat nagyobb nyugalommal bízzák a különböző vállalatok külsős cégekre is, hogy értékes információt nyerjenek ki belőlük.

Megfelelhetünk a GDPR-nak

Európában szigorú adatvédelmi törvény, a GDPR szabályozza a személyes adatok felhasználásának lehetőségét, de több országban szerte a világon hasonlóan kemény szabályozásokat fogadnak el a törvényhozók. Az is egyre megszokottabb, hogy az online világban a különböző szolgáltatásokért adatainkkal fizetünk, és jó tudni, hogy ezek az adatok még feldolgozásukkor is biztonságban vannak.

Más technológiákkal ötvözve az FHE továbbá lehetőséget biztosít az adatok szelektív kititkosításának menedzselésére, így a vállalati felhasználók tényleg a cégen belüli szerepkörüknek megfelelően férhetnek hozzá az adatokhoz.

Érkeznek a szolgáltatások

A fejlesztők úgy vélik, hogy most már van eléggé érett a technológia ahhoz, hogy szélesebb körben az érdeklődőknek szolgáltatásokat kínáljanak, ezt most dobták piacra. A technológia a hibrid felhő tekintetében érdekes – az IBM ezen a téren is fontos szereplő. A FHE lehetővé teszi, hogy a szenzitív, eddig privát felhőben tárolt és ott feldolgozott adatokat a szakértőkre és a publikus felhőszolgáltató gondjaira bízzuk.

 

 

 

Így védekezzünk a belsős támadások ellen

Nagyon nehéz, amikor egy vállalathoz betörnek és az adatokat ellopják, netán elvesztünk egy adatokkal teli merevlemezt vagy USB-t. Azonban sokkal nehezebb, amikor az adatszivárgás forrása egy belsős ember.

A belső támadások sokkal gyakoribbak, mint azt gondolnánk: az AtlasVPN adatai szerint a szervezetek 65 százaléka szenvedett el belső támadást az elmúlt 12 hónapban. A belső támadások nemcsak a kollégáktól, alkalmazottaktól indulhatnak, hanem azoktól a szerződéses partnerektől is, akikben megbízunk és akiknek hozzáférést biztosítunk a vállalat belső adataihoz.

Nő a belső támadások aránya

A Darktrace online készített felmérése szerint a vállalatok 41 százaléka 1-5 alkalommal tapasztaltak belsős támadást az elmúlt egy évben. Ami aggasztó, hogy a válaszadók 12 százaléka 6-10 hasonló támadás szenvedett el, míg 5 százalékuk 11-20 ilyen esetet regisztráltak. A vállalatoknak csak 7 százaléka számolt be 20-nál több támadásról.

A vállalat kiberbiztonsági szakembereket kérdezett meg kutatásában, és a válaszadók 72 százaléka szerint a 2020-as évben jelentősen megnövekedett a belsős támadások aránya.

Drága mulatság a belsős támadás

A belső támadások komoly kárt okoznak a vállalatoknak. A közvetlen pénzügyi károk mellett a szervezeteknek számolniuk kell a reputációs költségekkel, ami hosszú távon komoly problémákat jelent.

Ha csak közvetlenül a támadás elhárítási költségeit nézzük, akkor a legtöbb vállalatnál (49 százalék) 100 ezer dollárnál (29 millió forint) kevesebb költséget jelent. A megkérdezettek 30 százalékánál a kár 100-500 ezer dollár (29-145 millió forint) közé tehető, míg 12 százalékuk 500 ezer – 1 millió dolláros (145-290 millió forint) veszteséggel végzi és csupán 5 százalékuk a vállalatoknak számolt be 1 millió dollárt (290 millió forintot) meghaladó költségről.

Hogyan védekezzünk?

A legtöbb IT biztonsági rendszert úgy építették ki, hogy azok, érthető módon, a kívülről érkező támadásokat hárítsák el. A belső támadások, adatszivárgások ellen nem sokat tehet a vállalat, csupán megelőzheti azokat. Például megfelelő jogosultsági szintek meghatározásával korlátozhatjuk a hozzáférést a szenzitív adatokhoz (ez GDPR tekintetében is üdvözlendő lépés).

Az életciklusuk végéhez ért gépekre legyenek egyértelmű szabályok, hogy pontosan ki, hogyan kezeli azokat, hogyan töröli a rajtuk lévő adatokat és minderről milyen dokumentumokat vagy tanúsítványokat kell kiállítania. Rendszeresen oktassuk alkalmazottjainkat, hogy legalább a véletlen belsős adatszivárgást előzhessük meg.