Могли ли British Airways и Marriott избежать штрафов за нарушение GDPR?

Управление комиссара по информации Великобритании (ICO) уведомило о том, что сумма штрафа за прошлогодний инцидент, связанный с утечкой персональных данных пассажиров British Airways, составит 234 миллиона долларов. Это рекордная сумма, когда-либо назначавшаяся операторам персональных данных в качестве наказания. Напомним, что в июне прошлого года через сайт авиаперевозчика была похищена информация о полумиллионе пассажиров, включая историю бронирований и платежную информацию.

Также ICO наложил штраф на сеть отелей Marriott – наказание компании составило 124 миллиона долларов. В результате хакерской атаки на сеть Starwood, входящую в состав Marriott, были скомпрометированы данные 343 миллионов постояльцев, в том числе 8 миллионов данных кредитных карт.

Напомним, что сумма штрафа за нарушение норм GDPR может составлять до 4% от ежегодного оборота компании.

В итоге, каждая из компаний пострадала не один раз. Прямые финансовые убытки от кибератак дополнились репутационными потерями и необходимостью оплачивать грандиозные штрафы. При этом в каждом из случаев существуют нюансы, при которых прямой вины ни BA, ни Marriott вроде как и нет (на самом деле есть).

В случае с BA одна из версий расследования инцидента предполагает, что взломали не информационные системы компании, а подрядчика, написавшего скрипт для сбора платежных данных. Согласно второй версии атака была совершена не на основной сайт компании BA, а на сеть доставки содержимого (CDN), принадлежащую оператору связи. И в том, и в другом случае уязвимым звеном в цепочке передачи данных оказались подрядчики, нанятые авиаперевозчиком.

С Marriott все еще интереснее. По факту, утечка данных клиентов Starwood произошла еще до оформления их сделки с Marriott. Но ответственность легла все же на нынешнего хозяина активов.

И в том, и в другом случае компании совершили большую ошибку, игнорировав необходимость аудита информационной безопасности. Именно тщательный предварительный анализ системы ИБ подрядчиков в одном случае и поглощенной компании в другом случае мог предотвратить проблемы BA и Marriott. Но в итоге Marriott купила кота в мешке, а BA еще вынуждена участвовать в судебном разбирательстве по коллективному иску от пассажиров, требующих возмещения ущерба.

Возвращаясь к самому наказанию, можно сказать, что строгое решение ICO в отношении обеих компаний не будет мотивировать их и других операторов персональных данных отлаживать систему управления информационной безопасностью. Инциденты будут происходить даже при выполнении требований регламентов. И в итоге, вместо предупреждения угроз, организации будут заниматься сокрытием фактов взлома, чтобы избежать санкций со стороны государственных властей.

Как можно переломить ситуацию? Бизнесу необходимо осознать свою растущую зависимость от кибербезопасности. Санкции регулятора – всего лишь верхушка айсберга. Риски компаний от реализации компьютерных атак намного выше суммы штрафов. А это значит, что наказание неотвратимо – если не со стороны госорганов, то со стороны собственного кошелька. Точечного выполнения требования обеспечения информационной безопасности недостаточно. Только комплексное, планомерное и постоянное управление информационной безопасностью может свести к минимуму вероятность реализации компьютерного инцидента.