Niemieckie media donoszą o rekordowym wycieku danych osobowych: publicznie dostępnych miało być ponad 10 TB plików, zawierających informacje o klientach wypożyczalni samochodów Buchbinder. Jak komentuje Mateusz Piątek, product manager Safetica, rozwiązania DLP do ochrony przed wyciekiem danych, incydent ten może doprowadzić do wymierzenia jednej z najwyższych do tej pory kar w ramach RODO.
O wycieku poinformował portal Heise Online, a jego odkrycie miało być owocem współpracy dziennikarzy magazynu c’t i tygodnika DIE ZEIT. Odkryli oni, że na skutek błędnej konfiguracji jednego z serwerów należących do grupy Buchbinder każdy mógł uzyskać dostęp do liczącej ponad 3 miliony rekordów bazy danych. Zawierała ona informacje o klientach i pracownikach firmy, w tym m.in. imiona i nazwiska, adresy, daty urodzenia, numery prawa jazdy, a także faktury, wiadomości e-mail oraz umowy. Najstarsze dane miały pochodzić nawet z 2003 roku. Co prawda wśród udostępnionych zasobów nie znajdowały się dane płatnicze poszkodowanych, jednak nawet w obecnym zakresie informacje z bazy wystarczyłyby przestępcom np. do przeprowadzenia skutecznej kampanii phishingowej.
Poważne naruszenie RODO
Opisywany przypadek jest jednym z największych wycieków danych w historii Niemiec, a jednocześnie jeden z najpoważniejszych tego typu incydentów w Unii Europejskiej od czasu wprowadzenia RODO. Jak zwraca uwagę Mateusz Piątek z firmy DAGMA, sprawa niemal na pewno skończy się kolejną wielomilionową karą.
– Jak dotąd najwyższą karę na mocy RODO wymierzono przeciwko liniom British Airways. Jej wysokość wyniosła 200 milionów euro przy niecałych 400 tysiącach poszkodowanych. Tutaj skala wycieku jest dużo większa, a i zaniedbania po stronie firmy Buchbinder wydają się być poważne. Ostatnie słowo będzie należało rzecz jasna do organu ochrony danych, ale niewykluczone, że ponownie zbliżymy się do tego rekordu – komentuje Mateusz Piątek z DAGMA.
Jak się chronić?
Ekspert ostrzega, że nawet mniejsze firmy mogą się znaleźć w podobnej sytuacji co Buchbinder. Żeby uniknąć kary powinny zatroszczyć się nie tylko o zabezpieczenie danych przed czynnikami zewnętrznymi, takimi jak wirusy i próby włamania, ale także wewnętrznymi, wynikającymi z błędu człowieka.
– O ile większość firm posiada takie rozwiązania jak antywirus czy firewall, które chronią dane przed atakami z zewnątrz, to już niewiele z nich korzysta z rozwiązań klasy DLP, które pomagają zabezpieczyć je przed wyciekiem na skutek np. błędów w konfiguracji sieci czy ignorowaniem polityk bezpieczeństwa przez pracowników. To duży błąd, ponieważ taki produkt może uchronić je przed wielomilionową karą i utratą zaufania klientów – wyjaśnia Mateusz Piątek z DAGMA.
