Sme čoraz háklivejší na to, ako sa spracovávajú naše osobné údaje a kto ich ako chráni. Preto sú pokuty ohurujúce a náklady súvisiace s dátovými únikmi čoraz vyššie.

Občania, spotrebitelia, zákazníci, používatelia

Nariadenie EÚ o ochrane údajov (GDPR) patrí medzi najprísnejšie na svete. Od mája 2018 bolo udelených viac ako deväťsto pokút a každý rok rastú. Pokuta môže byť až do výšky 20 miliónov eur alebo štyri percentá celosvetového obratu za predchádzajúci finančný rok – podľa toho, ktorá hodnota je vyššia.

Do európskej kasičky

Pokutovým rekordérom je Amazon, ktorému francúzsky úrad vymeral 746 miliónov eur v roku 2021. Rok predtým to bolo „iba“ 35 miliónov a obe pokuty mali súvislosť s tým, ako sa využívali cookies na webových stránkach. Mimochodom, CNIL (Commission Nationale de l'Informatique et des Libertés) dlhodobo patrí v európskom spoločenstve k najprísnejším ochrancom súkromia a v uplynulých rokoch „skasíroval“ aj Google a Facebook.

Polrok 2022 je za nami a s ním viacero precedentných pokút. V januári zverejnil taliansky úrad na ochranu údajov (Garante) rozhodnutie udeliť pokutu 26,5 milióna eur dodávateľovi elektriny a plynu Enel Energia za viacero porušení GDPR. Medzi nimi je aj chýbajúci súhlas používateľov na to, že používajú ich osobné údaje pre telemarketingové hovory.

Už ste si dnes dali selfie na web?

Z Talianska pochádza aj prípad kontroverznej firmy Clearview AI, ktorá sťahovala selfie z internetu a vytvorila databázu 10 miliárd tvárí. Tento startup vytvoril službu na porovnávanie identity a výsledky predával orgánom činným v trestnom konaní.

Argumentom pre 20-miliónovú pokutu bol fakt, že „osobné údaje, ktorými spoločnosť disponuje, vrátane biometrických a geolokačných údajov, sú spracúvané nezákonne, bez adekvátneho právneho základu, čo rozhodne nemôže byť oprávneným záujmom americkej spoločnosti.“ Nasledovalo obdobné rozhodnutie v Spojenom kráľovstve a ďalšia pokuta deväť miliónov. A, samozrejme, zničenie dát o občanoch oboch krajín v databáze.

Osobné údaje sú lákavá komodita

Kde sú osobné údaje, tam je možnosť vydierať, cieliť phishingové kampane či dostať sa k účtom. Preto sú zdravotnícke zariadenia, finančné služby, výrobcovia a dodávatelia energií stále hlavnými cieľmi útočníkov. Podľa údajov spoločnosti Identify Theft Research Center väčšinu hlásených porušení bezpečnosti údajov za prvý štvrťrok 2022 spôsobili phishingové či ransomvérové útoky. Ďalšími sú malvér, nesprávne nastavenie poverení a nezabezpečené cloudové nástroje.

Cost of a Data Breach

Odborná verejnosť každý rok nedočkavo vyhliada výročnú správu o nákladoch spojených s únikom dát, ktorú publikuje spoločnosť IBM Security v spolupráci s renomovaným Ponemom Institute.

Na výskume sa zúčastnilo od marca 2021 do marca toho roku päťstopäťdesiat organizácií postihnutých únikmi údajov. Približne 83 percent z týchto organizácií bolo už zasiahnutých viacej ako jedným únikom údajov. Tu sú kľúčové fakty.

***

→ Náklady spojené s únikom údajov dosiahli v roku 2022 historicky rekordné čísla, v priemere 4,35 milióna amerických dolárov. V porovnaní s rokom 2021 to je nárast o 2,6 percenta, oproti roku 2020 až 12,7 percenta (priemerný náklad 3,86 milióna dolárov).

→ Organizácie, ktoré využívali v bezpečnostných riešeniach prvky umelej inteligencie a automatizačné technológie, mali priemerné náklady na únik údajov o 3,05 milióna amerických dolárov nižšie ako tie, ktoré ju nepoužívali.

→ Správa uvádza, že až 45 percent porušení ochrany údajov sa vyskytlo v cloude. Úniky, ku ktorým došlo v hybridnom cloude, „stáli“ priemerne 3,8 milióna dolárov, tie v súkromných cloudoch vyšli priemerne na 4,24 milióna a vo verejných cloudoch priemerne až na 5,02 milióna amerických dolárov.

***

Päticu krajín a regiónov s najvyššími priemernými nákladmi na porušenie ochrany údajov tvoria USA (9,44 milióna dolárov), Stredný východ (7,46 milióna) Kanada (5,64 milióna), Spojené kráľovstvo (5,05 milióna) a Nemecko (4,85 milióna).

Zdroje

^{The 10 Biggest Data Breaches of 2022}

^{Biggest GDPR Fines 2022}

^{Clearview Italy GDPR}

^{Cost of a Data Breach Report 2022}

^{Commission Nationale de l'Informatique et des Libertés}