DSG Retail to spółka zajmująca się sprzedażą elektroniki w ramach sklepów takich jak Currys PC World i Dixons Travel. W okresie od czerwca do listopada 2018 r. ICO otrzymało 158 skarg od klientów spółki w związku z incydentem bezpieczeństwa informacji a DSG otrzymało ich aż 3000 od marca 2019 r. Na skutek działania złośliwego oprogramowania zainstalowanego na ponad 5 tysiącach kas w ww. sklepach, doszło do wycieku danych 14 milionów klientów. Za pośrednictwem złośliwego oprogramowania w okresie od lipca 2017 r. do kwietnia 2018 r. pozyskiwano dane z baz będących w posiadaniu spółki zawierających imiona, nazwiska, kody pocztowe, adresy e-mail oraz niektóre informacje dotyczące kart płatniczych. Skuteczność cyberataku jest skutkiem w dużej mierze braku adekwatnych środków bezpieczeństwa oraz łamaniem przez firmę wytycznych ujętych w brytyjskiej ustawie o ochronie danych osobowych (Data Protection Act 2018).

Uchybienia obejmowały m.in.: nieposiadanie lokalnej zapory ogniowej, nieodpowiednie poprawki do oprogramowania, nieprzeprowadzanie rutynowych testów bezpieczeństwa czy segregacji sieci. Przeprowadzony przez ICO audyt wskazał również braki w fundamentalnych kwestiach dotyczących zabezpieczeń danych klientów. Jak wskazał Steve Eckersley, pełniący funkcję dyrektora dochodzeniowego w brytyjskim organie nadzoru, gdyby kara finansowa była nałożona na gruncie RODO, wówczas byłaby zdecydowanie wyższa. 500 000 funtów stanowiło maksymalną grzywnę, jaką można było nałożyć na bazie poprzednio obowiązującego aktu normatywnego. P. Eckersley zaznaczył, że braki w zabezpieczeniach na tak podstawowym poziomie świadczą o lekceważeniu bezpieczeństwa klientów przez firmę, a skradzione dane mogą zwiększyć ryzyko narażenia poszkodowanych na oszustwa.

Ataki wymierzone w słabości systemów oraz sieci, w miarę nieustannego rozwoju technologicznego, stają się zjawiskiem coraz powszechniejszym, ale są również bardziej złożone i przemyślane. Wiedza dotycząca sposobu przeprowadzania takich działań jest łatwo dostępna a dedykowane temu narzędzia są coraz bardziej rozbudowane. Wartość danych osobowych, które to najczęściej padają łupem ataków, również stale rośnie. Tym bardziej, że drastycznie zwiększa się liczba urządzeń, aplikacji oraz funkcjonalności w ramach których są one używane. Przeciętny smartfon przechowuje całą paletę danych umożliwiających identyfikację użytkownika w tym imię, nazwisko, datę urodzenia, dane kart kredytowych, dane wizerunkowe, a nawet dane biometryczne w postaci linii papilarnych, przy pomocy których dokonywane są płatności. Powszechność zagrożeń oraz fakt, że każde urządzenie stanowi swoistą „bazę danych”, sprawia, że przed administratorami danych pojawiają się zupełnie nowe wyzwania. Kwestie bezpieczeństwa informacji muszą stanowić absolutny priorytet już na etapie planowania działalności.

Źródło: portal gdpr.pl