När den nya allmänna dataskyddsförordningen träder i kraft den 25 maj 2018 är det viktigt att organisationer inser vilken effekt detta kommer att ha på deras verksamhet. Organisationer måste införa en GDPR-kampanj för att planera genomförandet av nya rutiner för att nå full överensstämmelse.
Payment Card Industry Security Standards Council (PCI SSC) har varnat brittiska företag för att de kan drabbas av straffavgifter på upp till 122 miljarder pund för dataintrång när den nya EU-lagstiftningen träder i kraft.
Enligt en undersökning om brott mot informationssäkerheten från 2015 rapporterade 90 % av de stora organisationerna och 74 % av de små och medelstora företagen i Storbritannien ett säkerhetsbrott, vilket understryker vikten av att starta en kampanj för GDPR-beredskap i god tid före 2018 års datum för genomförandet.
GDPR kommer att införa böter för bristande efterlevnad på upp till 20 miljoner euro eller 4 % av den globala årsomsättningen, beroende på vilket belopp som är högst. Dessa belopp kommer att vida överstiga det nuvarande maximala bötesbeloppet på 500 000 pund som utfärdas av ICO. GDPR-böter är dock bara en aspekt av den motreaktion som företagen kommer att få om de inte lyckas skydda sina kunders uppgifter på ett effektivt sätt. Skador på rykte, störningar i verksamheten och ekonomiska förluster har också en betydande inverkan på företag som drabbas av en dataintrång.
Nedan har vi sammanställt några av de största dataintrång som har varit i rubrikerna de senaste åren och den effekt GDPR skulle ha på ett liknande intrång i maj 2018.
1. Prata Prata Prata
I oktober 2016 ålade Information Commissioner's Office (ICO) Talk Talk att betala 400 000 pund i böter för cyberattacken 2015 som avslöjade personuppgifter för mer än 150 000 kunder. Med tanke på att företaget skulle ha fått böter på över 71 miljoner pund enligt den nya GDPR-lagstiftningen kom Talk Talk Talk Talk lindrigt undan.
400 000 £ mot 71 miljoner £
2. Yahoo
År 2014 drabbades Yahoo av ett av de största dataintrången någonsin, vilket påverkade 500 miljoner användare. Yahoo avslöjade också ett storskaligt intrång från 2013 som äventyrade 1,2 miljarder användarkonton. För att sätta det i perspektiv är det en på var sjunde eller åttonde person på jorden! Brotten fick rubrikerna i slutet av 2016 och tilldelade Yahoo kronan för den största cyberattacken i historien som innefattar ett intrång i personuppgifter.
Med tanke på att Yahoos intäkter har nått upp till 4,5 miljarder dollar under de senaste åren har det förutspåtts att Yahoo kommer att betala 90 miljoner dollar eller mer till EU enligt GDPR, eftersom företaget behandlar uppgifter om EU-medborgare. Om man kombinerar detta med det faktum att Verizon (som köpte Yahoo kort efter intrånget) betalade 350 miljoner dollar mindre än vad man ursprungligen hade varit beredd att betala, har Yahoo lidit enormt mycket på grund av denna attack.
3. Sony
I april 2011 blev PlayStation Network måltavla för hackare vars identitet fortfarande är okänd. Sony uppgav ursprungligen att 78 miljoner PlayStation Network-användares personuppgifter hade blivit utsatta. Antalet kränkta konton ökade dock senare med 24,6 miljoner när utredarna avslöjade att angriparna även hade infiltrerat Sony Online Entertainment och Qriocity. Kreditkortsdata från 23 400 SOE-användare i Europa stals också. År 2013 fick Sony böter på 250 000 pund av Information Commissioner's Office (ICO). Sony kunde dock ha fått böter på drygt 2,5 miljarder dollar om GDPR hade funnits.
250 000 pund jämfört med 2,5 miljarder dollar
4. Tre mobiler
I slutet av 2016 bekräftade en av Storbritanniens största nätverksleverantörer, Three mobile, att uppgifter om 133 827 av dess nio miljoner kundkonton hade kommit åt. Detta skedde efter att en hackare använt anställdas inloggningsuppgifter för att logga in i Three:s databas. Den information som stals var bland annat namn, adresser, telefonnummer och e-postadresser. Enligt GDPR skulle Three ha kunnat gå fri med ett beräknat bötesbelopp på 84 miljoner pund, vilket återigen visar hur viktigt det är att följa GDPR.
5. Tesco
År 2016 attackerades stormarknadsjättens banksektor, vilket ledde till att 2,5 miljoner pund stals från 9 000 kunders konton. Det uppskattas att om GDPR hade funnits på plats vid den tidpunkten skulle Tesco ha fått betala böter på 1,9 miljarder pund.
Den nuvarande och ökande hotnivån i cybersäkerhetslandskapet, för att inte tala om höga böter i kombination med förlorat kundförtroende, kan bara betyda en sak: Det är absolut nödvändigt att organisationer höjer sina krav på efterlevnad och medvetenhet om cybersäkerhet för att förebygga, upptäcka och reagera på cyberattacker som kan leda till intrång i personuppgifter.
På MetaCompliance är vi dedikerade till att hjälpa organisationer över alla plattformar att uppnå efterlevnad och skapa en bättre medvetenhet om viktiga säkerhetsfrågor bland det viktigaste försvaret ett företag har: din mänskliga brandvägg - dina anställda. Kontakta oss idag för att få veta hur vi kan hjälpa dig att starta din GDPR-kampanj eller delta i IAPP:s webbseminarium där MetaCompliances vd Robert O'Brien kommer att diskutera GDPR-projektgenomförandet. Du kan också ladda ner ett kostnadsfritt GDPR-policydokument och en vägledning för genomförande av bästa praxis här.
