في الآونة الأخيرة ، فرض مكتب مفوض المعلومات البريطاني غرامة على ياهو لعدم امتثاله لقانون حماية البيانات لعام 1998. كان السبب هو تسرب البيانات الشخصية لـ 500 ألف مواطن بريطاني ، والذي حدث في 2014. نتحدث عن هذا الوضع.
/ فليكر / كتالوج الأسهم / CC BYكيف حدث ذلك
في عام 2014 ، اخترق المهاجمون خوادم Yahoo وسرقوا بيانات اعتماد نصف مليون مستخدم ، بما في ذلك أرقام الهواتف وتواريخ الميلاد وكلمات المرور وأسئلة استرداد الحساب والإجابات عليها. أصبحت السرقة
معروفة بعد أن بدأ شخص تحت لقب السلام ، المعروف بـ "إغراق" بيانات مستخدمي Myspace و LinkedIn ، في بيع علنًا لقاعدة ياهو مقابل 3 بيتكوين فقط. ظهر الإعلان على Darknet في عام 2016 ، لكن المهاجم قال إنه سرق جزءًا من البيانات في عام 2012 وباعها سابقًا سراً.
خلال التحقيق ، الذي شارك فيه مكتب التحقيقات الفدرالي أيضًا ،
اتضح أن ياهو علمت بالقرصنة مباشرة بعد الحادث (في نهاية عام 2014) ، لكنها
فضلت التزام الصمت حتى سبتمبر 2016. وفقًا للائحة الجديدة (GDPR) ، لن تتمكن المنظمات من إخفاء التسريبات من الجمهور لفترة طويلة. المادتان
33 و
34 من اللائحة الجديدة تلزم الشركات بإخطار السلطات الإشرافية وأصحاب التطوير المهني في غضون 72 ساعة من اكتشاف التسرب. في حالة عدم الامتثال لهذه القاعدة ، تنص اللائحة العامة لحماية البيانات على غرامات بملايين الدولارات (المادة
83 ، الفقرة 4).
في الولايات المتحدة الأمريكية ، خفضوا أيضًا الموعد النهائي للإخطار.
على سبيل المثال ، في كولورادو في شهر سبتمبر هذا ، سيُطلب من جميع المؤسسات الإبلاغ عن تسرب للبيانات في غضون 30 يومًا (أقصر وقت في جميع الولايات). في عام 2017 ، قامت 8 دول أخرى بتحديث سياسات إعلام تسرب البيانات. في المتوسط (في الولايات المتحدة) ، تبلغ فترة الإعلام عن تسرب البيانات 45 يومًا.
في حالة Yahoo ، فإن الشركة متهمة بالحصول على:
- لا يمكن ضمان سلامة البيانات 515121 من المستخدمين ؛
- لم تجلب عملية معالجة PD وفقًا للوائح ؛
- لفترة طويلة لم تبلغ عن "ثقوب" وكشف تسرب.
ونتيجة لذلك ، قرر مكتب مفوض المعلومات البريطاني للمعلومات أن ياهو انتهكت القاعدة السابعة من الجزء الأول من اتفاقية حماية البيانات لعام 1998 ، والتي تنص على "الحاجة إلى اتخاذ الإجراءات الفنية والتنظيمية المناسبة لمنع المعالجة غير المصرح بها أو غير القانونية للبيانات الشخصية ، بالإضافة إلى فقدها العرضي وتلفها وحذفها. ". وطبقا للقسم 55 أ من قانون حماية البيانات لعام 1998 ، فإن الحد الأقصى للغرامة الواجب دفعها في مثل هذه الحالة هو 500 ألف جنيه. على الرغم من حقيقة أن المكتب أخذ في الاعتبار الظروف المخففة (المشار إليها في الصفحة 12 في الفقرة 44 من
حكم ياهو ، والتي أبرز فيها المفوض تعقيد الهجوم السيبراني ، واستعداد الشركة للتعاون مع المسؤولين الحكوميين وغيرهم) ، فلا مفر من غرامة الشركة.
حالات مماثلة
حدثت حالة مماثلة مع شركة TalkTalk البريطانية ، التي تم اختراقها في أكتوبر 2015. تمكن المهاجمون من الوصول إلى المعلومات الشخصية لـ 150 ألف عميل لمقدم الخدمة ، بما في ذلك البيانات المالية السرية لـ 15 ألف شخص.
اختار المجرمون تنفيذ كود SQL كوسيلة للقرصنة ، وأشار ممثل المكتب
إلى أن طرق الحماية من الهجمات من هذا النوع قد تم تطويرها منذ فترة طويلة. بالإضافة إلى ذلك ، تلقت TalkTalk 2 "تحذيرات" قبل "استنزاف" رئيسي - الهجمات في يوليو وسبتمبر 2015 التي استغلت ثغرة مماثلة. لذلك ،
اعتبر المكتب أن TalkTalk "كان بإمكانه منع الهجوم إذا اتخذوا خطوات أساسية لحماية بيانات العملاء" وفرضت الشركة غرامة قدرها 400 ألف جنيه إسترليني.
وقد تم
تغريم تاجر التجزئة Carphone Warehouse ، ومقره في لندن ، نفس المبلغ. كان الضحايا 3 ملايين عميل: تمكن مجرمو الإنترنت من الوصول إلى أسمائهم وعناوينهم وأرقام هواتفهم وتواريخ ميلادهم ووضعهم العائلي وتاريخ الدفع ببطاقات الائتمان.
كان سبب تسرب البيانات برنامجًا قديمًا. وكشف التحقيق أيضًا أن الشركة لم تجر اختبارًا قياسيًا للأنظمة الأمنية. كما هو الحال في Yahoo ، اعتبر مكتب مفوض المعلومات البريطاني هذا الإهمال انتهاكًا خطيرًا لقاعدة DPA السابعة لعام 1998 ووضع مستودع Carphone على مقربة من الحد الأقصى.
ما هي الخطوة التالية
يشير جيمس ديبل-جونستون ، نائب المفوض لعمليات ICO ، في منشور مدونة على قضية Yahoo ،
إلى أن الناس يثقون في الشركات ببياناتها على أمل ألا تقع معلوماتهم الشخصية في أيدي أطراف ثالثة . ومع ذلك ، لا تأخذ جميع الشركات حماية البيانات لعملائها على محمل الجد. في مثل هذه الحالات ، يضطر ممثلو القانون إلى تناول هذه المسألة.
/ Flickr / Willi Heidelbach / CC BYوقال نائب المفوض ، إذا لم تتمكن المنظمات من توفير الحماية الكافية للبيانات الشخصية لعملائها ، فيمكنها البحث عن عمل في مكان ما خارج الاتحاد الأوروبي.
يدرك المكتب أن الهجمات السيبرانية ستستمر في الحدوث ، وأن أساليب المجرمين السيبرانيين ستصبح أكثر تعقيدًا ، ولكنها تتطلب أقصى الجهود من المنظمات لحماية بيانات عملائها.
وكما
تؤكد مفوضة حماية المعلومات البريطانية ، إليزابيث دينهام ، "يجب على الشركات أن تفعل أكثر من مجرد إغلاق الباب". يجب عليهم قفله والتحقق منه باستمرار. وعليهم أيضا أن يتذكروا أنه من غير المفيد إغلاق الباب وترك المفتاح تحت السجادة ".
ملاحظة ماذا نكتب أيضًا على مدونة شركة 1cloud: