Hvis noen ønsket å minne om den nærliggende trusselen til GDPR og konsekvensene for bedrifter, ville den £ 400-bøden som ble utlevert til Carphone Warehouse tidligere denne uken, vært litt våkne.

Mens bøyden ikke var en del av noe GDPR-arrangement - det trer ikke i kraft til mai - størrelsen på det var litt av en øyeåpner. “Det er størrelsen på bøten, det var litt uventet,” sa Lewis Henderson fra sikkerhetsselskapet Glasswall, og påpekte at de tre millioner kundekontoerene i stor grad oversteg 157.000 kundeoppføringer i Talk Talk-bruddet: en hendelse som også berettiget £ 400.000 “Du lurer på hva et selskap må gjøre for å bli rammet av maksimumet,” Henderson mused.

Størrelsen på bøter er betydelig fordi i mai, kan den nå-svimlende mengden godt bli dwarfed av straffen utdelt for å bryte GDPR. Så, mens £ 400.000 er, som Henderson påpeker, under maksimumet, er det stort nok til å tjene som advarselsskudd.

Telekom og mobiloperatører vil i kraft av deres store kundebaser være fristende mål for cyberkriminelle og, i lys av størrelsen på deres omsetning, vil de også være fristende mål for informasjonskommisjonærer som ønsker å lage et eksempel på skummel databeskyttelsespraksis.

Det er rettferdig å si at det ikke vil være store bøter utdelt i de første ukene at GDPR er i drift, men det er nesten uunngåelig at et selskap vil bli hamret i løpet av et år. Det synes å være en tro som svinger rundt i bransjen at størrelsen på bøter (ved 4% av den globale omsetningen) bare er så mye snakk. Men gitt den slurvete øvelsen at det er for mange selskaper som henger seg inn, kan vi forvente å se minst ett uheldig firma som rammes av en stor straff, hell oppmuntre les autres.

Henderson sa at verden har gått på siden GDPR hadde kommet nærmere. “Jeg gjorde en rask beregning, og anslått at hvis ICO bøtelagt Carphone Warehouse det maksimale det kunne under GDPR retningslinjer, ville det ha blitt rammet med en £ 190m fine.”

Og det er realiseringen at bøter kan være så store som vil konsentrere tankene til operatørene, slik at deres systemer er så robuste som mulig. Men, som Henderson sa, tre år etter Talk Talk data brudd, er selskapene fortsatt blitt rammet - bare i november ble det rapportert at tre led et datautbrudd av sin egen.

Men angrepet har endret seg, sa Henderson. “For tre år siden banket angriperne på døren til nettsteder, vil jeg si at i dag bruker 60% av angrep filvedlegg - de er den største trusselen.”

Det faktum at kriminelle fortsatt truer kundeoppføringer - uansett angrepsmetodene er skremmende nok - men en av de største motbalansene mot dette pleide å være omdømmets skade, men det ser ikke ut som det er tilfelle lenger.”

“Folk blir desensibilisert,” sa Henderson. “Når Talk Talk ble truffet i 2015, tok aksjekursen en slik beats at det tok måneder å gjenopprette situasjonen.” Det er en kontrast til det som skjedde denne uken, sa han og påpekte at når Carphone Warehouse ble rammet av sin bot, gikk aksjekursen kort ned ... med et helt prosentpoeng. Og gitt at nyheten om bøyden ble annonsert samme dag som konsern finansdirektør forlot, kan straffen ikke vært den eneste grunnen til at fallet i aksjekursen.

Det ser ut til å være aksept nå da kundeoppføringer kommer til å bli hacket og, mens pinlig, er det ikke så farlig. For ti år siden, kan det føre til stor skade på selskapets omdømme: disse dager forårsaker slike nyheter bare en krusning i aksjekursen.

Det er nettopp denne typen tro på at GDPR har blitt utformet for å forandre seg.

Så, hvor forberedt er operatørene for den nye virkeligheten til GDPR? Ifølge en Clearswift-undersøkelse fra september i fjor, er organisasjoner ikke fullt forberedt på endringene i reguleringen. Undersøkelsen viste at bare omtrent en fjerdedel av europeiske virksomheter er GDPR-klare, og mens teknologi- og teleselskapene er bedre forberedt enn de fleste, var kun 32% av denne sektoren fullt engasjert.

uforberedt

Det var selvfølgelig for fire måneder siden, det har vært raske endringer siden da selskapene har våknet opp til realiteten av GDPR. Clearswift-undersøkelsen fant at 44% av selskapene var godt avanserte i sine planer, og forventet å være i samsvar med mai-fristen. En av faktorene som har drevet den forandringen er realiseringen av at til tross for Brexit, endringene kommer og Storbritannia er ute av EU, vil ikke ha noen innvirkning på vedtaket av GDPR.

Men selv om selskapene utarbeider en plan, vil omtrent en tredjedel av alle organisasjonene ikke være klare, og det vil inkludere en rekke telekomfirmaer (Clearswift-undersøkelsen gikk ikke for mye i detalj). Selv om det bare er en håndfull, er det et bekymringsfullt tegn.

De store guttene vil være fullt klar over problemene og vil ha brukt måneder på å stramme opp systemene sine, men før eller senere kommer det til et brudd på data og denne gangen kommer noen til å bli rammet med stor bøter.

Det ville være fint å tenke at operatørens systemer er tett sikre, men bruken av angrep som er fokusert på vedlegg, betyr at det blir vanskeligere å knytte ting tett sammen. Som Glasswalls Henderson sa: “Det er gaven som fortsetter å gi.”

  • Beste mobiltilbud i januar