Med den nye generelle databeskyttelsesforordning, der træder i kraft den 25. maj 2018, er det afgørende, at organisationer er klar over den effekt, som dette vil have på deres virksomhed. Organisationer skal iværksætte en GDPR-kampagne for at planlægge implementeringen af nye procedurer for at opnå fuld overensstemmelse.
Payment Card Industry Security Standards Council (PCI SSC) har advaret britiske virksomheder om, at de kan risikere at få op til 122 mia. pund i bøder for brud på datasikkerheden, når den nye EU-lovgivning træder i kraft.
Ifølge en undersøgelse af brud på informationssikkerheden fra 2015 rapporterede 90 % af de store organisationer og 74 % af SMV'erne i Storbritannien om et sikkerhedsbrud, hvilket understreger vigtigheden af at starte en GDPR-beredskabskampagne i god tid før håndhævelsesdatoen i 2018.
GDPR vil indføre bøder for manglende overholdelse på op til 20 mio. euro eller 4 % af den årlige verdensomsætning, alt efter hvad der er højest. Disse tal vil langt overstige den nuværende maksimale bøde på 500 000 GBP, som ICO har udstedt. GDPR-bøderne er imidlertid kun en facet af den modreaktion, som virksomhederne vil få, hvis de ikke formår at beskytte deres kunders data effektivt. Reputationsskader, driftsforstyrrelser og økonomiske tab har også en betydelig indvirkning på virksomheder, der rammes af et databrud.
Nedenfor har vi samlet nogle af de største databrud, der har ramt overskrifterne i de seneste år, og den virkning GDPR ville have på et brud af samme omfang i maj 2018.
1. Tal Tal Tal
I oktober 2016 pålagde Information Commissioner's Office (ICO) Talk Talk en bøde på 400.000 pund for cyberangreb i 2015, som afslørede personlige oplysninger om mere end 150.000 kunder. I betragtning af at virksomheden ville have fået en bøde på over 71 mio. pund under den nye GDPR-lovgivning, slap TalkTalk let.
400.000 £ mod 71 millioner £
2. Yahoo
I 2014 blev Yahoo udsat for et af de største databrud nogensinde, som ramte 500 millioner brugere. Yahoo afslørede også et omfattende brud fra 2013, som kompromitterede 1,2 milliarder brugerkonti. For at sætte det i perspektiv er det én for hver syv eller otte mennesker på jorden! Bruddene ramte overskrifterne sidst i 2016 og tildelte Yahoo kronen for historiens største cyberangreb med brud på persondata.
I betragtning af at Yahoos omsætningstal har ramt 4,5 milliarder dollars i de seneste år, er det blevet forudsagt, at Yahoo vil betale 90 millioner dollars eller mere til EU i henhold til GDPR, da Yahoo behandler EU-borgeres data. Sammen med det faktum, at Verizon (som købte Yahoo kort efter bruddet) betalte 350 millioner dollars mindre, end de oprindeligt havde været villige til at betale, har Yahoo lidt enormt under dette angreb.
3. Sony
I april 2011 blev PlayStation Network angrebet af hackere, hvis identitet stadig er ukendt. Sony sagde oprindeligt, at 78 millioner PlayStation Network-brugeres personlige oplysninger var blevet afsløret. Antallet af krænkede konti steg dog senere med 24,6 millioner, da efterforskerne afslørede, at angriberne også havde infiltreret Sony Online Entertainment og Qriocity. Kreditkortoplysningerne for 23 400 SOE-brugere i Europa blev også stjålet. I 2013 blev Sony idømt en bøde på 250.000 pund af Information Commissioner's Office (ICO). Sony kunne dog have fået en bøde på lidt over 2,5 mia. dollars, hvis GDPR havde været på plads.
£250,000 mod 2,5 milliarder dollars
4. Tre Mobile
I slutningen af 2016 bekræftede en af Storbritanniens største netværksudbydere, Three mobile, at der var adgang til oplysninger om 133.827 af dets ni millioner kundekonti. Dette skete, efter at en hacker havde brugt medarbejdernes legitimationsoplysninger til at logge ind i Three's database. De stjålne oplysninger omfattede bl.a. navne, adresser, telefonnumre og e-mailadresser. I henhold til GDPR kunne Three have fået en bøde på 84 mio. pund, hvilket igen understreger vigtigheden af at overholde GDPR.
5. Tesco
I 2016 blev supermarkedsgigantens banksektor angrebet, hvilket resulterede i et tyveri af 2,5 mio. pund fra 9.000 kunders konti. Det anslås, at hvis GDPR havde været på plads på det tidspunkt, ville Tesco være blevet tjekket ud med en bøde på 1,9 mia. pund.
Det nuværende og stigende trusselsniveau inden for cybersikkerhedslandskabet, for ikke at nævne store bøder kombineret med tab af kundetillid, kan kun betyde én ting: Det er bydende nødvendigt, at organisationer øger deres indsats over hele linjen med hensyn til overholdelse og cybersikkerhedsbevidsthed for at forebygge, opdage og reagere på cyberangreb, som kan føre til brud på persondata.
Hos MetaCompliance er vi dedikeret til at hjælpe organisationer på tværs af alle platforme med at opnå overholdelse og skabe en bedre bevidsthed om vigtige sikkerhedsspørgsmål blandt det vigtigste forsvar, en virksomhed har: din menneskelige firewall - dine medarbejdere. Kontakt os i dag for at høre mere om, hvordan vi kan hjælpe dig med at kickstarte din GDPR-kampagne, eller deltag i IAPP-webinaret, hvor MetaCompliance CEO Robert O'Brien vil diskutere GDPR-projektimplementering. Du kan også downloade et gratis GDPR-politikdokument og en vejledning om implementering af bedste praksis her.