O tym, że kary pieniężne, do nakładania których od momentu wejścia w życie RODO uprawniony będzie Urząd Ochrony Danych Osobowych, stanowić będą dla wszystkich przedsiębiorców bardzo poważne i realne ryzyko biznesowe, pisałem w tym artykule. Celem wprowadzenia w państwach członkowskich UE tak wysokich kar jest oczywiście zdyscyplinowanie wszystkich podmiotów przetwarzających dane osobowe do prawidłowego zabezpieczenia tych danych i tym samym do przestrzegania wszelkich obowiązków nałożonych przez nowe Rozporządzenie. Czy jednak RODO rzeczywiście pozwoli skutecznie przeciwdziałać atakom hakerskim skutkującym wielkimi wyciekami danych osobowych tysięcy, a nawet milionów osób?

W 2016 roku hakerzy wykradli z Ubera dane, uwaga, 57 milionów klientów. W ręce cyberprzestępców trafiły imiona i nazwiska, a także numery telefonów oraz adresy mailowe. Aby zamieść sprawę pod dywan, szefowie Ubera zapłacili hakerom 100 tysięcy dolarów za skasowanie skradzionych danych. O tej sprawie moglibyśmy nigdy się nie dowiedzieć, gdyby nie zmiany osobowe na najwyższych szczeblach tej korporacji. Nowy CEO Ubera Dara Khosrowshahi publicznie przyznał, że doszło do wycieku danych, a jego przyczyną były kiepskie zabezpieczenia.

Sprawa Ubera to niestety nie jedyny przykład wycieku danych osobowych na ogromną skalę. Nie tak dawno w naszym kraju z szantażem radzić sobie musiał Plus Bank. Haker o pseudonimie „Raz” wykradł dane kilkuset klientów i za powstrzymanie się od ich ujawnienia zażądał od banku 200 tysięcy złotych. Bank nie spełnił żądań pana (a może pani?) Raz, w związku z czym dane osobowe wylądowały w internecie. Plus Bank przez pewien czas nie chciał się przyznać, że dał się okraść. Nie jest to w sumie żadną nowością, bo np. powszechnie znane Yahoo informację o wycieku danych trzech miliardów (!) kont podało dopiero po 4 latach.

Jak widać ogromne wycieki danych osobowych oraz żądanie przez cyberprzestępców sporych pieniędzy od swoich ofiar nie należą do rzadkości. Skala problemu jest poważna, bo przecież kto z nas ucieszyłby się na wieść o tym, że jego dane takie jak PESEL, nr dowodu osobistego, czy hasło do skrzynki e-mail są publicznie dostępne w internecie? A dla hakerów ataki na duże firmy stanowią sposób na przyjemny zarobek, gdyż nawet jeśli ofiara nie zgodzi się na zapłatę okupu, to dane będą mogły zostać łatwo sprzedane w na stronach znajdujących się w tzw. darknecie.

Czas odpowiedzieć więc na pytanie zadane na początku tego wpisu – czy RODO pozwoli uchronić nas przed kolejnymi masowymi wyciekami danych osobowych? Z jednej strony nowe rozporządzenie na pewno zdyscyplinuje większe korporacje do wprowadzenia mocnych i nowoczesnych zabezpieczeń oraz do dbania o wewnętrzne procedury przetwarzania danych. W końcu za nieprzestrzeganie przepisów RODO grożą kary nawet do 20 milionów EURO lub do 4% całkowitego światowego obrotu, a taki wydatek zabolałby nawet największych. Nasze bezpieczeństwo wzmocnić ma także, moim zdaniem bardzo słuszny, obowiązek poinformowania organu nadzorczego (u nas Urząd Ochrony Danych Osobowych) o naruszeniu ochrony danych osobowych w przeciągu 72 godzin od momentu stwierdzenia tego naruszenia. Złamanie tego nakazu grozić będzie oczywiście wysoką karą finansową.

Na pierwszy rzut oka wszystko wygląda ładnie, ale zastanówmy się, czy dzięki RODO hakerzy nie uzyskali właśnie swoistego „cennika”? Wcześniej nie wiedzieli jakiego okupu mogą żądać. Teraz, skoro w przypadku ujawnienia wycieku ich ofierze grozić będzie kara finansowa w wysokości 10 milionów EURO lub 2% światowego obrotu, za skasowanie danych oraz zamiecenie sprawy pod dywan zażądać będą mogli np. 4 milionów EURO. Dużo bardziej przyjemna kwota, niż te marne 100 tysięcy dolarów, które zapłacił Uber, prawda? Poza tym regularność wycieków danych osobowych w ostatnich latach, które przecież przydarzały się największym, światowym korporacjom, nie napawa optymizmem. Informatykiem nie jestem, zajmuję się czymś zupełnie innym, ale wydaje mi się, że nie ma takich zabezpieczeń, których nie da się złamać. Dysponujemy coraz to nowszymi, w teorii bardziej skutecznymi środkami ochrony przed cyberprzestępczością, ale tak samo nowymi narzędziami dysponują także ci, którym zależy na przełamaniu tych zabezpieczeń. A wysokie kary grożące wielkim korporacjom za dopuszczenie do wykradnięcia danych osobowych i wiążąca się z tym dla hakerów możliwość żądania wyższego okupu, stanowią dodatkową zachętę do podjęcia próby spowodowania kolejnego, masowego wycieku danych.

Źródło zdjęcia: pixabay

Open Facebook