Cookies management by TermsFeed Cookie Consent

08/2022

   Report bezpečnosti

Koľko to stojí a ako to bolí, keď sa šafári s osobnými údajmi

Sme čoraz háklivejší na to, ako sa spracovávajú naše osobné údaje a kto ich ako chráni. Preto sú pokuty ohurujúce a náklady súvisiace s dátovými únikmi čoraz vyššie.

Občania, spotrebitelia, zákazníci, používatelia

Nariadenie EÚ o ochrane údajov (GDPR) patrí medzi najprísnejšie na svete. Od mája 2018 bolo udelených viac ako deväťsto pokút a každý rok rastú. Pokuta môže byť až do výšky 20 miliónov eur alebo štyri percentá celosvetového obratu za predchádzajúci finančný rok – podľa toho, ktorá hodnota je vyššia.

Do európskej kasičky

Pokutovým rekordérom je Amazon, ktorému francúzsky úrad vymeral 746 miliónov eur v roku 2021. Rok predtým to bolo „iba“ 35 miliónov a obe pokuty mali súvislosť s tým, ako sa využívali cookies na webových stránkach. Mimochodom, CNIL (Commission Nationale de l'Informatique et des Libertés) dlhodobo patrí v európskom spoločenstve k najprísnejším ochrancom súkromia a v uplynulých rokoch „skasíroval“ aj Google a Facebook.

Polrok 2022 je za nami a s ním viacero precedentných pokút. V januári zverejnil taliansky úrad na ochranu údajov (Garante) rozhodnutie udeliť pokutu 26,5 milióna eur dodávateľovi elektriny a plynu Enel Energia za viacero porušení GDPR. Medzi nimi je aj chýbajúci súhlas používateľov na to, že používajú ich osobné údaje pre telemarketingové hovory.

Už ste si dnes dali selfie na web?

Z Talianska pochádza aj prípad kontroverznej firmy Clearview AI, ktorá sťahovala selfie z internetu a vytvorila databázu 10 miliárd tvárí. Tento startup vytvoril službu na porovnávanie identity a výsledky predával orgánom činným v trestnom konaní.

Argumentom pre 20-miliónovú pokutu bol fakt, že „osobné údaje, ktorými spoločnosť disponuje, vrátane biometrických a geolokačných údajov, sú spracúvané nezákonne, bez adekvátneho právneho základu, čo rozhodne nemôže byť oprávneným záujmom americkej spoločnosti.“ Nasledovalo obdobné rozhodnutie v Spojenom kráľovstve a ďalšia pokuta deväť miliónov. A, samozrejme, zničenie dát o občanoch oboch krajín v databáze.

Osobné údaje sú lákavá komodita

Kde sú osobné údaje, tam je možnosť vydierať, cieliť phishingové kampane či dostať sa k účtom. Preto sú zdravotnícke zariadenia, finančné služby, výrobcovia a dodávatelia energií stále hlavnými cieľmi útočníkov. Podľa údajov spoločnosti Identify Theft Research Center väčšinu hlásených porušení bezpečnosti údajov za prvý štvrťrok 2022 spôsobili phishingové či ransomvérové útoky. Ďalšími sú malvér, nesprávne nastavenie poverení a nezabezpečené cloudové nástroje.

Cost of a Data Breach

Odborná verejnosť každý rok nedočkavo vyhliada výročnú správu o nákladoch spojených s únikom dát, ktorú publikuje spoločnosť IBM Security v spolupráci s renomovaným Ponemom Institute.

Na výskume sa zúčastnilo od marca 2021 do marca toho roku päťstopäťdesiat organizácií postihnutých únikmi údajov. Približne 83 percent z týchto organizácií bolo už zasiahnutých viacej ako jedným únikom údajov. Tu sú kľúčové fakty.

***

Náklady spojené s únikom údajov dosiahli v roku 2022 historicky rekordné čísla, v priemere 4,35 milióna amerických dolárov. V porovnaní s rokom 2021 to je nárast o 2,6 percenta, oproti roku 2020 až 12,7 percenta (priemerný náklad 3,86 milióna dolárov).

→ Náklady na únik údajov v zdravotníctve dosiahli nový rekord, v priemere boli 10,1 milióna dolárov. Zdravotníctvo sa tak podľa nákladov na dátový únik stalo „najdrahším odvetvím“ za posledných dvanásť rokov, pričom od roku 2020 vzrástli o 41,6 percenta.

Finančné organizácie mali druhé najvyššie náklady, priemerne 5,97 milióna amerických dolárov, farmaceutické organizácie 5,01 milióna, technologické 4,97 milióna a energetické 4,72 milióna.

→ Organizácie kritickej infraštruktúry mali priemerné náklady 4,82 milióna dolárov. Deštruktívny alebo ransomvérový útok zasiahol 28 percent organizácií v tomto segmente a 17 percent organizácií uvádza ako príčinu úniku údajov napadnutie obchodného partnera.

→ Organizácie, ktoré využívali v bezpečnostných riešeniach prvky umelej inteligencie a automatizačné technológie, mali priemerné náklady na únik údajov o 3,05 milióna amerických dolárov nižšie ako tie, ktoré ju nepoužívali.

→ Len 41 percent organizácií v správe uviedlo, že nasadili zero trust architektúru. Zvyšných 59 percent organizácií bez nasadenej zero trust architektúry má v priemere o jeden milión amerických dolárov vyššie náklady na porušenie ochrany údajov. Medzi organizáciami z kritickej infraštruktúry nenasadzuje zero trust architektúru až 79 percent.

→ Správa uvádza, že až 45 percent porušení ochrany údajov sa vyskytlo v cloude. Úniky, ku ktorým došlo v hybridnom cloude, „stáli“ priemerne 3,8 milióna dolárov, tie v súkromných cloudoch vyšli priemerne na 4,24 milióna a vo verejných cloudoch priemerne až na 5,02 milióna amerických dolárov.

→ Takmer tri štvrtiny organizácií v štúdii uviedli, že majú plán reakcie na incidenty a 63 percent organizácií z nich sa pochválilo, že plán aj pravidelne testujú.

***

Päticu krajín a regiónov s najvyššími priemernými nákladmi na porušenie ochrany údajov tvoria USA (9,44 milióna dolárov), Stredný východ (7,46 milióna) Kanada (5,64 milióna), Spojené kráľovstvo (5,05 milióna) a Nemecko (4,85 milióna).


Zdroje

The 10 Biggest Data Breaches of 2022

Biggest GDPR Fines 2022

Clearview Italy GDPR

Cost of a Data Breach Report 2022

Commission Nationale de l'Informatique et des Libertés