Con l'entrata in vigore del nuovo regolamento generale sulla protezione dei dati il 25 maggio 2018, è fondamentale che le organizzazioni si rendano conto dell'effetto che questo avrà sulla loro attività. Le organizzazioni devono mettere in atto una campagna GDPR per pianificare l'attuazione di nuove procedure per raggiungere la piena conformità.
Il Payment Card Industry Security Standards Council (PCI SSC) ha avvertito le imprese britanniche che potrebbero affrontare fino a 122 miliardi di sterline in sanzioni per violazioni di dati quando la nuova legislazione UE entrerà in vigore.
Secondo un sondaggio del 2015 sulle violazioni della sicurezza delle informazioni, il 90% delle grandi organizzazioni e il 74% delle PMI nel Regno Unito hanno riportato una violazione della sicurezza, evidenziando l'importanza di iniziare una campagna di preparazione al GDPR con largo anticipo rispetto alla data di applicazione del 2018.
Il GDPR introdurrà multe per non conformità fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, se superiore. Queste cifre supereranno di gran lunga l'attuale multa massima di 500.000 sterline emessa dall'ICO. Tuttavia, le sanzioni GDPR sono solo un aspetto del contraccolpo che le aziende riceveranno se non riusciranno a proteggere efficacemente i dati dei loro clienti. Danni alla reputazione, interruzione dell'attività e perdite finanziarie hanno anche un impatto significativo sulle aziende che subiscono una violazione dei dati.
Di seguito abbiamo compilato alcune delle principali violazioni di dati che hanno colpito i titoli dei giornali negli ultimi anni e l'effetto che il GDPR avrebbe su una violazione di scala simile nel maggio 2018.
1. Parlare
Nell'ottobre 2016, l'Information Commissioner's Office (ICO) ha colpito Talk Talk con una multa di 400.000 sterline per il cyber-attacco del 2015 che ha esposto i dati personali di più di 150.000 clienti. Considerando che l'azienda sarebbe stata multata per oltre 71 milioni di sterline secondo la nuova legislazione GDPR, TalkTalk se l'è cavata con poco.
400.000 sterline contro 71 milioni di sterline
2. Yahoo
Nel 2014, Yahoo ha subito una delle più grandi violazioni di dati di tutti i tempi che ha colpito 500 milioni di utenti. Ha anche rivelato una violazione su larga scala dal 2013 che ha compromesso 1,2 miliardi di account utente. Per metterlo in prospettiva, è uno per ogni sette o otto persone sulla Terra! Le violazioni hanno colpito i titoli dei giornali alla fine del 2016, assegnando a Yahoo la corona per il più grande attacco informatico della storia che coinvolge una violazione dei dati personali.
Considerando che i numeri delle entrate di Yahoo hanno toccato i 4,5 miliardi di dollari negli ultimi anni, è stato previsto che Yahoo avrebbe pagato 90 milioni di dollari o più all'UE sotto GDPR, considerando che tratta i dati dei cittadini dell'UE. Se a questo si aggiunge il fatto che Verizon (che ha acquistato Yahoo poco dopo la violazione) ha pagato 350 milioni di dollari in meno di quanto era stato inizialmente preparato a pagare, Yahoo ha sofferto enormemente a causa di questo attacco.
3. Sony
Nell'aprile 2011, il PlayStation Network è stato preso di mira da hacker le cui identità sono ancora sconosciute. Sony ha inizialmente detto che le informazioni personali di 78 milioni di utenti di PlayStation Network erano state esposte. Tuttavia, il numero di account violati è poi aumentato di 24,6 milioni quando gli investigatori hanno rivelato che gli aggressori si erano infiltrati anche in Sony Online Entertainment e Qriocity. Sono stati rubati anche i dati delle carte di credito di 23.400 utenti SOE in Europa. Nel 2013, Sony è stata multata di 250.000 sterline dall'Information Commissioner's Office (ICO). Tuttavia, Sony avrebbe potuto essere multata per poco più di 2,5 miliardi di dollari se il GDPR fosse stato in vigore.
250.000 sterline contro 2,5 miliardi di dollari
4. Tre mobili
Alla fine del 2016 uno dei più grandi fornitori di rete del Regno Unito, Three mobile, ha confermato che i dettagli di 133, 827 dei suoi nove milioni di account dei clienti sono stati accessibili. Ciò è avvenuto dopo che un hacker ha usato le credenziali dei dipendenti per accedere al database di Three. Le informazioni rubate includevano nomi, indirizzi, numeri di telefono e indirizzi e-mail tra gli altri dettagli. In base al GDPR, Tre avrebbe potuto andarsene con una multa stimata di 84 milioni di sterline, evidenziando ancora una volta l'importanza della conformità al GDPR
5. Tesco
Nel 2016, il settore bancario del gigante dei supermercati ha subito un attacco che ha portato al furto di 2,5 milioni di sterline dai conti di 9.000 clienti. Si stima che se il GDPR fosse stato in vigore all'epoca, Tesco avrebbe dovuto pagare una multa di 1,9 miliardi di sterline.
L'attuale e crescente livello di minaccia all'interno del panorama della sicurezza informatica, per non parlare delle pesanti multe accoppiate con una perdita di fiducia dei clienti, può significare solo una cosa: è imperativo che le organizzazioni alzino il loro gioco su tutta la linea in termini di conformità e consapevolezza della sicurezza informatica per prevenire, rilevare e rispondere ai cyber-attacchi che possono portare a violazioni dei dati personali.
A MetaCompliance ci dedichiamo a servire le organizzazioni attraverso tutte le piattaforme per raggiungere la conformità e creare una migliore consapevolezza dei problemi di sicurezza cruciali tra la difesa più importante che un'azienda ha: il vostro firewall umano - i vostri dipendenti. Contattateci oggi stesso per sapere come possiamo aiutarvi ad avviare la vostra campagna GDPR o a partecipare al webinar IAPP dove il CEO di MetaCompliance, Robert O'Brien, parlerà dell'implementazione del progetto GDPR. Puoi anche scaricare un documento gratuito sulla politica GDPR e una guida all'implementazione delle Best Practice qui.