Baru-baru ini, Kantor Komisaris Informasi Inggris mendenda Yahoo karena tidak mematuhi Undang-Undang Perlindungan Data 1998. Alasannya adalah bocornya data pribadi 500 ribu warga Inggris, yang terjadi pada 2014. Kami berbicara tentang situasi ini.
/ Flickr / Katalog Saham / CC BYBagaimana itu bisa terjadi?
Pada 2014, penyerang meretas server Yahoo dan mencuri kredensial setengah juta pengguna, termasuk nomor telepon, ulang tahun, kata sandi, pertanyaan pemulihan akun, dan jawaban mereka. Pencurian itu
diketahui setelah seseorang dengan nama panggilan Peace, yang dikenal karena "membuang" data pengguna Myspace dan LinkedIn, mulai secara terbuka menjual basis Yahoo hanya dengan 3 bitcoin. Iklan itu muncul di Darknet pada tahun 2016, tetapi penyerang mengatakan bahwa ia telah mencuri sebagian data pada tahun 2012 dan sebelumnya menjualnya secara rahasia.
Selama penyelidikan, di mana FBI juga
terlibat ,
ternyata Yahoo mengetahui tentang peretasan segera setelah insiden (pada akhir 2014), tetapi
lebih memilih untuk tetap diam sampai September 2016. Menurut peraturan baru (GDPR), organisasi tidak akan lagi dapat sembunyikan kebocoran dari publik begitu lama. Pasal
33 dan
34 dari peraturan baru ini mewajibkan perusahaan untuk memberi tahu otoritas pengawas dan pemilik PD dalam waktu 72 jam sejak mendeteksi kebocoran. Untuk ketidakpatuhan terhadap aturan ini, GDPR memberikan denda jutaan dolar (Pasal
83 , paragraf 4).
Di AS, mereka juga mengurangi tenggat waktu untuk pemberitahuan.
Misalnya, di Colorado September ini, semua organisasi akan diminta untuk melaporkan kebocoran data dalam waktu 30 hari (waktu tersingkat di semua negara bagian). Pada 2017, 8 negara lainnya memperbarui kebijakan pemberitahuan kebocoran data. Rata-rata (di AS), periode pemberitahuan kebocoran data adalah 45 hari.
Dalam kasus Yahoo, perusahaan dituduh memiliki:
- tidak bisa memastikan keamanan data 515 121 pengguna;
- tidak membawa proses pengolahan PD sesuai dengan peraturan;
- untuk waktu yang lama tidak melaporkan terdeteksi "lubang" dan kebocoran.
Akibatnya, Kantor Komisaris Informasi Inggris untuk Informasi memutuskan bahwa Yahoo melanggar aturan ketujuh dari bagian pertama DPA 1998, yang menyatakan “kebutuhan untuk mengambil langkah-langkah teknis dan organisasi yang sesuai untuk mencegah pemrosesan data pribadi yang tidak sah atau ilegal, serta kehilangan, kerusakan, dan penghapusan tidak disengaja mereka. ". Menurut Bagian 55A dari DPA 1998, denda maksimum yang harus dibayar dalam kasus seperti itu adalah 500 ribu pound. Terlepas dari kenyataan bahwa Kantor memperhitungkan keadaan yang meringankan (ditunjukkan pada halaman 12 dalam paragraf 44
keputusan Yahoo, di antaranya komisaris menyoroti kompleksitas serangan dunia maya, kesediaan perusahaan untuk bekerja sama dengan pejabat pemerintah dan lainnya), tidak ada jalan keluar dari denda perusahaan.
Kasus serupa
Kasus serupa
terjadi dengan perusahaan Inggris TalkTalk, yang diretas pada Oktober 2015. Penyerang memperoleh akses ke informasi pribadi 150 ribu pelanggan penyedia, termasuk data keuangan rahasia 15 ribu orang.
Para penjahat memilih implementasi kode-SQL sebagai cara peretasan, dan perwakilan Kantor
mencatat bahwa metode perlindungan terhadap serangan jenis ini telah lama dikembangkan. Selain itu, TalkTalk menerima 2 "peringatan" sebelum "saluran" utama - serangan pada bulan Juli dan September 2015 yang mengeksploitasi kerentanan serupa. Oleh karena itu, Kantor
menganggap bahwa TalkTalk "bisa mencegah serangan jika mereka telah mengambil langkah-langkah dasar untuk melindungi data pelanggan" dan menetapkan perusahaan denda £ 400 ribu.
Pengecer Carphone Warehouse, yang berkantor pusat di London,
didenda dengan jumlah yang sama. Para korban adalah 3 juta pelanggan: penjahat cyber mendapatkan akses ke nama, alamat, nomor telepon, tanggal lahir, status keluarga, dan riwayat pembayaran kartu kredit mereka.
Penyebab kebocoran data
adalah perangkat lunak yang ketinggalan zaman. Penyelidikan juga mengungkapkan bahwa perusahaan tidak melakukan pengujian standar sistem keamanan. Seperti dalam kasus Yahoo, Kantor Komisaris Informasi Inggris
menganggap kelalaian semacam itu sebagai pelanggaran serius terhadap peraturan DPA ketujuh tahun 1998 dan membuat Carphone Warehouse mendekati batas maksimum.
Apa selanjutnya
James Dipple-Johnstone, Deputi Komisaris Operasi ICO, dalam sebuah posting blog tentang kasus Yahoo,
mencatat bahwa orang mempercayai perusahaan dengan data mereka dengan harapan bahwa informasi pribadi mereka tidak akan jatuh ke tangan pihak ketiga . Namun, tidak semua perusahaan menganggap serius perlindungan data pelanggan mereka. Dalam situasi seperti itu, perwakilan hukum dipaksa untuk mengambil masalah ini.
/ Flickr / Willi Heidelbach / CC BYJika organisasi tidak dapat memberikan perlindungan yang memadai untuk data pribadi pelanggan mereka, mereka dapat mencari pekerjaan di suatu tempat di luar Uni Eropa, kata wakil komisaris.
Kantor memahami bahwa serangan cyber akan terus terjadi, dan metode penjahat cyber akan menjadi lebih canggih, tetapi membutuhkan upaya maksimal dari organisasi untuk melindungi data klien mereka.
Sebagai Komisaris Perlindungan Informasi Inggris, Elizabeth Denham,
menekankan , "Perusahaan harus melakukan lebih dari sekadar menutup pintu." Mereka harus menguncinya dan terus memeriksanya. Mereka juga harus ingat bahwa tidak ada gunanya mengunci pintu, meninggalkan kunci di bawah permadani. "
PS Apa lagi yang kami tulis di blog korporat 1cloud: