Obowiązek informacyjny rodo

KOMPAS FORSAFE 2020/4

Kraj:

Wielka Brytania

Data wydania decyzji:

30.10.2020 r.

Podmiot kontrolowany:

Marriott International, Inc

Wysokość kary (EUR):

20.450.000

Podstawa prawna naruszenia

Art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie danych w Marriott International Inc. miało miejsce w wyniku ataku na systemy IT Starwood Hotels and Resorts Worldwide Inc., które Marriott przejął w 2016 roku. Atakujący uzyskali dostęp do systemów Starwood już w 2014 roku, wykorzystując nieznany wektor ataku. Marriott nie wykrył tego naruszenia aż do września 2018 roku, kiedy to atakujący uzyskali dostęp do środowiska danych kart płatniczych i mogli eksportować dane osobowe klientów Starwood.

 

Opis wydarzeń

  1. Przejęcie Starwood przez Marriott: W 2016 roku Marriott przejął Starwood, jednak nie wykrył istniejącego już naruszenia bezpieczeństwa.
  2. Działania atakującego: Atakujący zainstalowali złośliwe oprogramowanie, które umożliwiło im zdalny dostęp do systemów Starwood. Wykorzystali narzędzie Mimikatz do zbierania danych logowania i uzyskali dostęp do danych kart płatniczych oraz innych danych osobowych.
  3. Wykrycie naruszenia: Naruszenie zostało wykryte dopiero we wrześniu 2018 roku, kiedy to system Guardium wykrył nieautoryzowany dostęp do tabeli zawierającej dane kart płatniczych.
  4. Reakcja Marriott: Po wykryciu naruszenia, Marriott podjął natychmiastowe działania mające na celu ograniczenie skutków ataku, w tym poinformowanie osób, których dane zostały naruszone, oraz wdrożenie środków naprawczych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wzmocnienie monitoringu: Wdrożenie zaawansowanych mechanizmów monitorowania aktywności użytkowników, szczególnie kont uprzywilejowanych, aby szybciej wykrywać nieautoryzowane działania.
  2. Zabezpieczenia baz danych: Skonfigurowanie bardziej szczegółowych alertów bezpieczeństwa oraz agregowanie logów, aby lepiej monitorować działania na bazach danych.
  3. Dwustopniowe uwierzytelnianie: Wprowadzenie mechanizmu dwustopniowego uwierzytelniania dla wszystkich systemów przetwarzających dane osobowe.
  4. Monitorowanie ruchu sieciowego: Zastosowanie zaawansowanych narzędzi do monitorowania ruchu sieciowego i natychmiastowe reagowanie na nietypowe zdarzenia.
  6. Zastosowanie whitelisting: Wdrożenie mechanizmów whitelisting na krytycznych systemach, aby ograniczyć możliwość instalacji złośliwego oprogramowania.
  7. Szyfrowanie danych: Szyfrowanie wszystkich kategorii danych osobowych, nie tylko danych kart płatniczych, aby lepiej chronić dane przed nieautoryzowanym dostępem.
  8. Procedury zarządzania incydentami: Opracowanie i wdrożenie szczegółowych procedur zarządzania incydentami bezpieczeństwa danych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO