Wyciekło 10 TB danych osobowych – szykuje się rekordowa kara w ramach RODO?

Niemieckie media donoszą o rekordowym wycieku danych osobowych: publicznie dostępnych miało być ponad 10 TB plików, zawierających informacje o klientach wypożyczalni samochodów Buchbinder. Incydent ten może doprowadzić do wymierzenia jednej z najwyższych do tej pory kar w ramach RODO.

O wycieku poinformował portal Heise Online, a jego odkrycie miało być owocem współpracy dziennikarzy magazynu c’t i tygodnika DIE ZEIT. Odkryli oni, że na skutek błędnej konfiguracji jednego z serwerów należących do grupy Buchbinder każdy mógł uzyskać dostęp do liczącej ponad 3 miliony rekordów bazy danych. Zawierała ona informacje o klientach i pracownikach firmy, w tym m.in. imiona i nazwiska, adresy, daty urodzenia, numery prawa jazdy, a także faktury, wiadomości e-mail oraz umowy. Najstarsze dane miały pochodzić nawet z 2003 roku. Co prawda wśród udostępnionych zasobów nie znajdowały się dane płatnicze poszkodowanych, jednak nawet w obecnym zakresie informacje z bazy wystarczyłyby przestępcom np. do przeprowadzenia skutecznej kampanii phishingowej.

Poważne naruszenie RODO

Opisywany przypadek jest jednym z największych wycieków danych w historii Niemiec, a jednocześnie jeden z najpoważniejszych tego typu incydentów w Unii Europejskiej od czasu wprowadzenia RODO. Sprawa niemal na pewno skończy się kolejną wielomilionową karą.

Jak dotąd najwyższą karę na mocy RODO wymierzono przeciwko liniom British Airways. Jej wysokość wyniosła 200 milionów euro przy niecałych 400 tysiącach poszkodowanych. Tutaj skala wycieku jest dużo większa, a i zaniedbania po stronie firmy Buchbinder wydają się być poważne. Ostatnie słowo będzie należało rzecz jasna do organu ochrony danych, ale niewykluczone, że ponownie zbliżymy się do tego rekordu.

Jak się chronić?

Nawet mniejsze firmy mogą się znaleźć w podobnej sytuacji co Buchbinder. Żeby uniknąć kary powinny zatroszczyć się nie tylko o zabezpieczenie danych przed czynnikami zewnętrznymi, takimi jak wirusy i próby włamania, ale także wewnętrznymi, wynikającymi z błędu człowieka.

O ile większość firm posiada takie rozwiązania jak antywirus czy firewall, które chronią dane przed atakami z zewnątrz, to już niewiele z nich korzysta z rozwiązań klasy DLP, które pomagają zabezpieczyć je przed wyciekiem na skutek np. błędów w konfiguracji sieci czy ignorowaniem polityk bezpieczeństwa przez pracowników. To duży błąd, ponieważ taki produkt może uchronić je przed wielomilionową karą i utratą zaufania klientów.