BETA

19.08.2018

20:54

חודש  לפני כניסתן לתוקף של תקנות ה-GDPR כ- 40% מהחברות בארה״ב ואירופה לא היו מוכנות
חודש לפני כניסתן לתוקף של תקנות ה-GDPR כ- 40% מהחברות בארה״ב ואירופה לא היו מוכנות ,
Fotolia

כמה ebay ו- Yahoo היו משלמות היום על פרצות האבטחה שלהן?

לאור חקיקת תקנות הפרטיות האירופאיות החדשות, ה- GDPR, בדקנו כמה מהפרות הסייבר מהגדולות בהיסטוריה בנסיון להבין מה גודל הקנס שהיה מוטל על החברות הללו כיום

בחודשים האחרונים קיבלנו בכל האמצעים והכלים הדיגיטאליים הודעות עדכון לגבי שינויים בתנאי ושירותי הפרטיות. מהלך זה מגיע לאחר כניסתן לתוקף של תקנות הפרטיות האירופאיות ה- GDPR אשר גרמו לחברות הטכנולוגיה הגדולות לקחת רגע כדי לחשוב מחדש ולהעריך מחדש איך הם מטפלים בנתוני הלקוחות. רבים מהם, כמו למשל טוויטר אפילו שלחו ופרסמו את המדיניות המעודכנת כדי לציית לרגולציה החדשה. 

 

"למרות שלחברות היה יותר משנתיים להתכונן לחקיקה זו, מחקר שנערך לאחרונה על ידי האגודה הבינלאומית של המומחים לפרטיות, (International Association of Privacy Professionals IAPP) , מראה כי חודש בלבד לפני כניסתן לתוקף של חוקי ה- GDPR, הרי ש- 40% מהחברות בארה״ב ואירופה עדיין היו רחוקות מהשלמת המהלכים הנדרשים לעמידה בתנאי החוק ואף לא השלימו אותם עד ל- 25 במאי, מועד כניס החוק" מספר אלי פופריטקין, מנהל פיתוח עסקי וניהול מוצר VERITAS ו-QUEST בחברת C-DATA. "למרות שמדינות רבות באיחוד האירופי פרסמו כי בשלב זה חסרים להם המשאבים כדי לאכוף את ה- GDPR, הרי שהמשמעות בלקחת את הסיכון ולא לציית לחוקים היא פשוט להעמיד את הסבלנות שלהם למבחן, מה שעלול לעלות לחברות בקנסות המגיעים לכדי -4% מההכנסות השנתיות העולמיות של הארגון או 20 מיליון אירו, לפי הגבוה מבניהם" מסביר פופריטקין.

 

 אלי פופריטקין פיתוח עסקי וניהול מוצר VERITAS ו-QUEST בחברת C-DATA
 

אלי פופריטקין פיתוח עסקי וניהול מוצר VERITAS ו-QUEST בחברת C-DATA(יח"צ)

 

אם נסתכל על כמה מהפרות הנתונים הגדולות ביותר שהתרחשו בשנים האחרונות, נוכל למעשה להבין כיצד חוקי ה- GDPR היו משפעים היום על התנהלות החברות ועל התוצאות המסחריות של אותן ההפרות. 


 

Yahoo 

 

מטה יאהו
 

מטה יאהו( רוייטרס)

 

כ- 3 מיליארד חשבונות של משתמשים נפרצו ב- Yahoo בשנים 2013-2014, דבר שנחשב לאחד מאירועי זליגת הנתונים הגדולים ביותר בהיסטוריה. אך לא בכך מסתיים הדבר. לקח ל- Yahoo עד אוקטובר 2017 כדי להעריך באופן מלא את היקף ההפרות המרובות שאירעו באותן השנים. לדברי יאיר זרצקי, מהנדס מכירות בחברת Veritas ״לחוקי ה- GDPR דרישות מנדטוריות בנוגע לאיתור, ניהול, צמצום מידע מיותר, הגנה וניתוח חיי המידע בארגון. תחום ניהול המידע בארגון שנמצא באין סוף תוכנות ניהול שונות כמו CRM, תיבות דואר, תוכנות ניהול מכירות ועוד, גם בשרתים המקומיים של הארגון וגם בענן מקשים מאד על עמידה בחוקי הרגולציה הנוקשים של ה- GDPR. ל- Yahoo לקח כשלוש שנים להבין את מימדי האסון ואמנם לחברות בסדר גודל מעט קטן יותר כמו בישראל זה היה לוקח פחות, ספק אם הן היו יכולות לעמוד בסדר גודל של דיווח תוך 72 שעות  כמו שה- GDPR דורש. מבחינת הנזק, עם הכנסות של מעל ל-4 מיליארד דולר בשנת 2012, אם באותה התקופה היה ה- GDPR בתוקף, Yahoo הייתה נאלצת להיפרד ממיליוני דולרים בקנסות. בהערכה גסה מדובר על כ- 160 מיליון דולר, תלוי ברמת שיתוף הפעולה ובנתונים שהיו יכולים לכרות ולספק לרשויות. אין ספק שהשגת ניראות ותובנות לגבי מיקומו של מידע אישי ורגיש או לגבי הרשאות הגישה אליו, הינו צעד ראשון אמנם אך משמעותי וקריטי בציות לחוקי – GDPR ויסוד מרכזי בניהול המידע ממנו אפשר לגזור תובנות נוספות״.


ebay

 

 איביי הודיעה למשתמשיה על הפריצה רק כחודשיים לאחר שגילו זאת לראשונה
 

איביי הודיעה למשתמשיה על הפריצה רק כחודשיים לאחר שגילו זאת לראשונה( flickr cc by @liewcf)

 

 

לעומת Yahoo, הרי ש -ebay נראית יותר טוב, אבל עדיין, אם חוקי ה- GDPR היו חלים עליה בשנת 2014, היא הייתה מאבדת כמה עשרות מליונים. eBay הודיע ל- 145 מיליון משמשיה על כך שהתרחשה פריצה למערכות שלה ״רק״ בחלוף חודש מאז האירוע, הרבה מעבר ל-72 שעות הדרושות לפי ה- GDPR. עם זאת שמות, כתובות, תאריכי לידה וסיסמאות נפגעו והחברה זכתה לביקורת על היעדר תקשורת, חוסר ניהול תקין והתאוששות מסורבלת מהאסון. מכיוון שהמידע הפיננסי של המשתמשים לא נפגע, אם חוקי ה- GDPR היו חלים היום אזי שהקנסות היו ״נמוכים״ יחסית (בהערכה גסה של כ-20 מיליון פאונד). מדובר ללא ספק בסיכון מיותר, שעלול לעלות לארגון הרבה כסף, זמן משאבים ולא נשכח- גם מוניטין.  

 

לדברי גיל באומל, מנהל המכירות של חברת Quest, המתמחה  בפתרונות ניהול וניטור של בסיסי נתונים, שהכלים שלה לשמירה על פרטיות המידע בארגון יושמו בשוק הישראלי גם בחארגונים רגישיים יותר התחומי הביטחון, התשתיות, ההייטק,והבריאות, הרי שהאינטרס להגנה על הפרטיות קיים כבר שנים בשוק והוא בעיקרו אינטרס מסחרי. "יחד עם זאת, אין ספק שחוקי הגנת הפרטיות החדשים יעניקו לאדם הפרטי, לרגולטור ולמדינה משנה תוקף להגנה על זכויות הפרט, במיוחד באירועים של פריצות משמעותיות וגניבה של מידע אישי ממאגרי מידע ואתרים בארץ או בחו״ל" מסביר באומל. אין ספק שיישום רציף של עדכוני אבטחת מידע עדכניים ושדרוגי גרסאות של שרתים, עמדות קצה ומכשירים אישיים של העובדים, מסייעים לצמצום סיכונים. יש לזכור שפגיעה בפרטיות יכולה לקרות כתוצאה של פעילות זדונית כלפי הארגון, אך גם סיכונים לפרטיות כמו מחיקה, איבוד או שינוי מידע יכולים לא אחת פשוט לנבוע מטעויות אנוש וגם את זה צריך לקחת בחשבון ולמנוע כי זה אפילו חבל עוד יותר ״.