Nyderlandų duomenų apsaugos priežiūros institucija skyrė 475 000 EUR baudą platformai Booking.com dėl pavėluoto pranešimo priežiūros institucijai apie įvykusį asmens duomenų saugumo pažeidimą. Incidentas įvyko dar 2018 m. gruodžio mėnesį, kurio metu nusikaltėliai atakavo 40 viešbučių, esančių Jungtiniuose Arabų Emyratuose, ir tokiu būdu neteisėtai gavo apie 4 100 asmenų duomenis, kurie užsisakė kambarius šiuose viešbučiuose naudodamiesi Booking.com platforma.
Nusikaltėliai gavo klientų vardus, pavardes, gimimo datas bei kitus asmens duomenis, o taip pat ir prieigą prie beveik 300 skirtingų banko kortelių, iš kurių 97 atvejais gavo šių banko kortelių apsaugos kodus.
Apie incidentą Booking.com sužinojo 2019 m. sausio 13 d., tačiau neužtikrino savo pareigos per 72 valandas informuoti priežiūros institucijos ir apie incidentą pranešė tik 2019 m. vasario 7 d., t. y. pavėlavusi 22 dienas.
Anot Nyderlandų duomenų apsaugos priežiūros institucijos, platformos Booking.com klientai visada rizikuoja jų didelio masto asmens duomenų vagyste, dėl to įmonė turi pareigą užtikrinant savo klientų duomenų saugumą, įskaitant ir nedelsiant informuoti duomenų apsaugos priežiūros instituciją pažeidimui įvykus.
Ko galime pasimokyti?
- Turėkite iš anksto pasirengę pažeidimų nustatymo, tyrimo bei vidaus pranešimų procedūras, tokiu būdu įmonės bus iš anksto pasirengusios krizių valdymui ir tai palengvins sprendimų priėmimą, atsakomybę ir kt.;
- Jei jūsų įmonėje įvyksta asmens duomenų saugumo pažeidimas, privalote imtis veiksmų ne tik šių pažeidimų pasekmėms sumažinti, bet ir informuoti apie tai asmens duomenų priežiūros instituciją nedelsiant, per 72 valandas, nuo sužinojimo apie šį pažeidimą;
- Kaupkite duomenų saugumo pažeidimų įrašus bei tyrimo ataskaitas;
- Kai įmanoma, užtikrinkite komunikaciją su paveiktaisiais duomenų subjektais ir paaiškinkite jiems, kaip sumažinti rizikas;
- Užtikrinkite tiek vidinę, tiek išorinę komunikaciją apie duomenų saugumo pažeidimą;
- Susikurkite veiksmų planą, kaip išvengti panašių įvykių ateityje;
- Apmokykite savo personalą;
- Užtikrinkite nuolatinį IT sistemų stebėjimą bei kibernetinės apsaugos sistemų tobulinimą;
- Atlikite reguliarius IT apsaugos testus ir / ar auditus.
Taip pat skaitykite – Kaip elgtis įvykus kibernetinei atakai ir apsaugoti klientus.
Parengė ECOVIS ProventusLaw teisininkas Andrius Karmonas