Zijn mobiele operators voorbereid op GDPR?
NieuwsAls iemand zich wilde herinneren aan de naderende dreiging van GDPR en de implicaties voor bedrijven, dan zou de boete van £ 400.000 die eerder deze week aan Carphone Warehouse was uitgedeeld een beetje een wake-up call zijn geweest.
Hoewel de boete geen deel uitmaakte van een GDPR-arrangement - dat komt pas in mei in werking - was de grootte ervan een beetje een eye-opener. “Het is de grootte van de boete, dat was een beetje onverwacht,” zei Lewis Henderson van beveiligingsbedrijf Glasswall, erop wijzend dat de drie miljoen klantenaccounts de 157.000 klantrecords in de Talk Talk-breuk ruimschoots overtroffen: een incident dat ook de £ 400.000 rechtvaardigde “Je vraagt je af wat een bedrijf moet doen om maximaal getroffen te worden,” Henderson peinsde.
De hoogte van de boete is aanzienlijk, omdat in mei de nu duizelingwekkende hoeveelheid zou kunnen worden overschaduwd door de boetes die zijn uitgedeeld voor het overtreden van GDPR. Dus, terwijl de £ 400.000, zoals Henderson aangeeft, onder het maximum ligt, is het groot genoeg om als waarschuwing te dienen.
Telecombedrijven en mobiele operatoren zullen, vanwege hun grote klantenbestand, verleidelijke doelen zijn voor cybercriminelen en gezien de omvang van hun omzet zullen het ook verleidelijke doelen zijn voor informatiecommissarissen die een voorbeeld willen zien van onbetrouwbare gegevensbescherming.
Het is eerlijk om te zeggen dat er geen zware boetes worden uitgedeeld in de eerste paar weken dat GDPR in bedrijf is, maar het is bijna onvermijdelijk dat binnen een jaar een bedrijf zal worden gehamerd. Er lijkt een geloof te bestaan rond de industrie dat de hoogte van de boetes (op 4% van de wereldwijde omzet) net zo veel praten is. Maar gezien de slordige praktijk waarin te veel bedrijven zich overgeven, kunnen we verwachten dat ten minste één ongelukkige firma getroffen door een enorme boete, pour encouragrager les autres.
Henderson zei dat de wereld is verder gegaan sinds GDPR dichterbij was gekomen. “Ik maakte een snelle berekening en schatte dat als de ICO een geldboete zou hebben opgelegd aan Carphone Warehouse, het maximum zou zijn onder de GDPR-richtlijnen, het zou zijn geraakt met een boete van £ 190 miljoen.”
En het besef is dat boetes zo groot kunnen zijn dat de beheerders zich gaan concentreren en ervoor zorgen dat hun systemen zo robuust mogelijk zijn. Maar, zoals Henderson zei, drie jaar na de datalek van Talk Talk, worden bedrijven nog steeds getroffen - alleen al in november werd gemeld dat Three een datalek van zichzelf had.
Maar de aard van de aanval is veranderd, zei Henderson. “Drie jaar geleden klopten aanvallers op de deur van websites. Ik zou zeggen dat 60% van de aanvallen tegenwoordig bestandsbijlagen gebruikt - het zijn de grootste bedreigingen.”
Het feit dat criminelen de klantendossiers nog steeds bedreigen - wat de aanvalsmethoden ook eng genoeg zijn - maar een van de grootste tegengewichten tegen dit was ooit de reputatieschade, maar het ziet er niet naar uit dat dit het geval is..”
“Mensen worden ongevoelig gemaakt,” zei Henderson. “Toen Talk Talk in 2015 werd getroffen, kreeg de aandelenkoers zo'n pak slaag dat het maanden duurde om de situatie te herstellen.” Dat is een contrast met wat er deze week is gebeurd, zei hij, erop wijzend dat toen Carphone Warehouse door zijn geldboete werd geraakt, de aandelenkoers kort daalde ... met een heel procentpunt. En aangezien het nieuws van de boete werd aangekondigd op dezelfde dag dat de groepsfinancieringsdirecteur vertrok, was de boete misschien niet de enige reden voor die daling van de aandelenkoers.
Er lijkt nu acceptatie te zijn dat klantenrecords worden gehackt en dat het, hoewel beschamend, geen groot probleem is. Tien jaar geleden zou het misschien de reputatie van een bedrijf enorm kunnen schaden. Tegenwoordig veroorzaakt dergelijk nieuws slechts een golf in de aandelenkoers.
Het is precies dit soort overtuiging dat GDPR is ontworpen om te veranderen.
Dus, hoe bereid zijn operators voor de nieuwe realiteit van GDPR? Volgens een Clearswift-enquête van afgelopen september zijn organisaties niet volledig voorbereid op de wijzigingen in de regelgeving. Uit het onderzoek bleek dat slechts ongeveer een kwart van de Europese bedrijven klaar is voor GDPR en hoewel technologie- en telecombedrijven beter zijn voorbereid dan de meeste, was slechts 32% van deze sector volledig geëngageerd.
Onvoorbereid
Dat was natuurlijk vier maanden geleden, sindsdien zijn er snelle veranderingen geweest, omdat bedrijven zijn ontwaakt in de realiteit van GDPR. Uit de Clearswift-enquête bleek dat 44% van de bedrijven ver gevorderd was met hun plannen, in de verwachting dat ze binnen de deadline van mei compliant zouden zijn. Een van de factoren die aan die verandering heeft bijgedragen, is het besef dat ondanks de Brexit de veranderingen aankomen en dat het Verenigd Koninkrijk dat buiten de EU is geen invloed zal hebben op de acceptatie van GDPR.
Maar zelfs met inbegrip van de bedrijven die een plan opstellen, zal ongeveer een derde van alle organisaties niet klaar zijn en dat zal een aantal telecombedrijven omvatten (de Clearswift-enquête ging niet te gedetailleerd in). Ook al is het maar een handvol, dat is een zorgwekkend teken.
De grote jongens zullen zich volledig bewust zijn van de problemen en zullen maandenlang hun systemen hebben verkrapt, maar vroeg of laat is er een datalek en deze keer wordt iemand geraakt met een grote boete.
Het zou leuk zijn om te denken dat de systemen van de operatoren stevig beveiligd zijn, maar het gebruik van aanvallen gericht op bijlagen betekent dat het moeilijker wordt om dingen strak aan te sluiten. Zoals Glasswall's Henderson zei: “Het is het geschenk dat blijft geven.”
- Beste mobiele deals in januari