Kun uusi yleinen tietosuoja-asetus tulee voimaan 25. toukokuuta 2018, on ratkaisevan tärkeää, että organisaatiot ymmärtävät, miten se vaikuttaa niiden liiketoimintaan. Organisaatioiden on otettava käyttöön GDPR-kampanja suunnitellakseen uusien menettelyjen toteuttamisen, jotta saavutetaan täysi vaatimustenmukaisuus.
Payment Card Industry Security Standards Council (PCI SSC) on varoittanut brittiläisiä yrityksiä siitä, että ne voivat joutua maksamaan jopa 122 miljardin punnan sakot tietomurroista, kun uusi EU-lainsäädäntö tulee voimaan.
Vuonna 2015 tehdyn tietoturvaloukkauksia koskevan tutkimuksen mukaan 90 prosenttia suurista organisaatioista ja 74 prosenttia pk-yrityksistä Yhdistyneessä kuningaskunnassa ilmoitti tietoturvaloukkauksesta, mikä korostaa GDPR-valmiuskampanjan aloittamisen tärkeyttä hyvissä ajoin ennen vuoden 2018 täytäntöönpanopäivää.
Tietosuoja-asetuksen noudattamatta jättämisestä määrätään sakkoja, joiden suuruus on enintään 20 miljoonaa euroa tai 4 prosenttia vuotuisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi on suurempi. Nämä luvut ylittävät huomattavasti ICO:n antaman nykyisen 500 000 punnan enimmäissakon. GDPR:n rangaistukset ovat kuitenkin vain yksi osa vastareaktiota, jonka yritykset saavat, jos ne eivät suojele asiakkaidensa tietoja tehokkaasti. Myös mainehaitat, liiketoiminnan häiriöt ja taloudelliset tappiot vaikuttavat merkittävästi tietomurrosta kärsiviin yrityksiin.
Alla on koottu joitakin viime vuosien otsikoihin nousseista tietomurroista ja GDPR:n vaikutuksesta vastaavanlaiseen tietomurtoon toukokuussa 2018.
1. Puhu Puhu
Lokakuussa 2016 Information Commissioner's Office (ICO) langetti Talk Talkille 400 000 punnan sakon vuonna 2015 tehdystä verkkohyökkäyksestä, joka paljasti yli 150 000 asiakkaan henkilötiedot. Kun otetaan huomioon, että yritykselle olisi uuden GDPR-lainsäädännön nojalla määrätty yli 71 miljoonan punnan sakko, TalkTalk pääsi helpolla.
400 000 puntaa vs. 71 miljoonaa puntaa
2. Yahoo
Vuonna 2014 Yahoo kärsi yhdestä kaikkien aikojen suurimmista tietomurroista, joka koski 500 miljoonaa käyttäjää. Se paljasti myös vuonna 2013 tapahtuneen laajamittaisen tietoturvaloukkauksen, jossa vaarantui 1,2 miljardia käyttäjätiliä. Tämä on yksi jokaista seitsemää tai kahdeksaa maapallon ihmistä kohden! Tietomurrot nousivat otsikoihin loppuvuodesta 2016, jolloin Yahoo sai kruunun historian suurimmasta verkkohyökkäyksestä, johon liittyi henkilötietomurto.
Kun otetaan huomioon, että Yahoon liikevaihto on viime vuosina ollut yli 4,5 miljardia dollaria, on ennustettu, että Yahoo joutuisi maksamaan EU:lle vähintään 90 miljoonaa dollaria GDPR:n nojalla, koska se käsittelee EU:n kansalaisten tietoja. Kun tähän lisätään se, että Verizon (joka osti Yahoon pian tietomurron jälkeen) maksoi 350 miljoonaa dollaria vähemmän kuin se oli alun perin valmis maksamaan, Yahoo kärsi valtavasti tästä hyökkäyksestä.
3. Sony
Huhtikuussa 2011 PlayStation Network joutui hakkerien hyökkäyksen kohteeksi, joiden henkilöllisyys on edelleen tuntematon. Sony kertoi alun perin, että 78 miljoonan PlayStation Network -käyttäjän henkilötiedot olivat paljastuneet. Myöhemmin loukkaantuneiden tilien määrä kasvoi kuitenkin 24,6 miljoonalla, kun tutkijat paljastivat, että hyökkääjät olivat tunkeutuneet myös Sony Online Entertainmentiin ja Qriocityyn. Myös 23 400 SOE:n eurooppalaisen käyttäjän luottokorttitiedot varastettiin. Vuonna 2013 Sonylle määrättiin 250 000 punnan sakko ICO:lta (Information Commissioner's Office). Sonylle olisi kuitenkin voitu määrätä hieman yli 2,5 miljardin dollarin sakko, jos GDPR olisi ollut voimassa.
250 000 puntaa vs. 2,5 miljardia dollaria
4. Kolme matkapuhelinta
Vuoden 2016 lopulla yksi Yhdistyneen kuningaskunnan suurimmista verkko-operaattoreista, Three Mobile, vahvisti, että sen yhdeksästä miljoonasta asiakastilistä 133 827:n tiedot olivat tulleet tietoon. Tämä tapahtui sen jälkeen, kun hakkeri käytti työntekijän tunnistetietoja kirjautuakseen Threen tietokantaan. Varastettuja tietoja olivat muun muassa nimet, osoitteet, puhelinnumerot ja sähköpostiosoitteet. GDPR:n nojalla Three olisi voinut selvitä arviolta 84 miljoonan punnan sakolla, mikä korostaa jälleen kerran GDPR:n noudattamisen tärkeyttä.
5. Tesco
Vuonna 2016 supermarkettijätin pankkialaa vastaan hyökättiin, minkä seurauksena 9 000 asiakkaan tileiltä varastettiin 2,5 miljoonaa puntaa. On arvioitu, että jos GDPR olisi ollut tuolloin voimassa, Tesco olisi joutunut maksamaan 1,9 miljardin punnan sakon.
Nykyinen ja kasvava uhkataso kyberturvallisuusympäristössä, puhumattakaan suurista sakoista ja asiakkaiden luottamuksen menettämisestä, voi tarkoittaa vain yhtä asiaa: organisaatioiden on ehdottomasti parannettava toimintaansa kaikilla aloilla vaatimustenmukaisuuden ja kyberturvallisuustietoisuuden osalta, jotta voidaan ehkäistä, havaita ja reagoida kyberhyökkäyksiin, jotka voivat johtaa henkilötietomurtoihin.
MetaCompliance on omistautunut palvelemaan organisaatioita kaikilla alustoilla vaatimustenmukaisuuden saavuttamisessa ja tietoisuuden lisäämisessä tärkeimmistä turvallisuuskysymyksistä yrityksen tärkeimmän puolustuksen, eli työntekijöiden palomuurin, keskuudessa. Ota meihin yhteyttä jo tänään ja kerro, miten voimme auttaa sinua käynnistämään GDPR-kampanjasi, tai osallistu IAPP:n webinaariin, jossa MetaCompliancen toimitusjohtaja Robert O'Brien keskustelee GDPR-hankkeen toteuttamisesta. Voit myös ladata ilmaisen GDPR-käytäntöasiakirjan ja parhaiden käytäntöjen toteuttamisoppaan täältä.