Se qualcuno volesse ricordare la minaccia imminente del GDPR e le implicazioni per le imprese, la multa di 400.000 sterline consegnata a Carphone Warehouse, all'inizio di questa settimana, sarebbe stata un po 'un campanello d'allarme.

Mentre la multa non faceva parte di alcun accordo GDPR - che non ha effetto fino a maggio - la dimensione di esso era un po 'apribile. “È la dimensione della multa, è stato un po 'inaspettato,” ha detto Lewis Henderson della società di sicurezza Glasswall, sottolineando che i tre milioni di account dei clienti hanno superato di gran lunga i 157.000 record dei clienti nella violazione di Talk Talk: un incidente che giustificava anche £ 400.000 “Ti chiedi cosa deve fare un'azienda per essere colpito dal massimo,” Rifletté Henderson.

La dimensione della multa è significativa perché a maggio l'ammontare ora vertiginoso potrebbe essere sminuito dalle sanzioni inflitte per aver violato il GDPR. Quindi, mentre i £ 400.000 sono, come indica Henderson, al di sotto del massimo, sono abbastanza grandi da servire da avvertimento.

Telc e operatori mobili, in virtù delle loro vaste basi di clienti, saranno tentati bersagli per i cyber criminali e, date le dimensioni dei loro fatturati, saranno anche allettanti obiettivi per i commissari dell'informazione che cercano di fare un esempio di pratiche scadenti di protezione dei dati.

È giusto dire che non ci saranno pesanti multe consegnate nelle prime settimane in cui GDPR è operativo, ma è quasi inevitabile che entro un anno venga battuta qualche azienda. Sembra esserci una convinzione che fluttua nel settore che la dimensione delle multe (al 4% del fatturato globale) è solo un modo di parlare. Ma data la pratica sciatta che un po 'troppe aziende si concedono, possiamo aspettarci di vedere almeno una sfortunata impresa colpita da un'enorme punizione, pour encourager les autres.

Henderson ha detto che il mondo è passato da quando GDPR si è avvicinato. “Ho fatto un rapido calcolo e ho stimato che se l'ICO avesse multato Carphone Warehouse il massimo che poteva sotto le linee guida GDPR, sarebbe stato colpito da una multa di 190 milioni di sterline.”

Ed è la consapevolezza che le multe potrebbero essere così grandi che concentreranno le menti degli operatori, assicurando che i loro sistemi siano il più robusti possibile. Ma, come ha detto Henderson, tre anni dopo la violazione dei dati di Talk Talk, le aziende sono ancora colpite - solo a novembre è stato riferito che Tre ha subito una violazione dei dati.

Ma la natura dell'attacco è cambiata, ha detto Henderson. “Tre anni fa, gli aggressori stavano bussando alla porta dei siti web, direi che al giorno d'oggi il 60% degli attacchi utilizza file allegati: sono la più grande minaccia.”

Il fatto che i criminali stiano ancora minacciando i record dei clienti - qualunque sia il metodo di attacco è abbastanza spaventoso - ma uno dei maggiori controbilanci contro questo era il danno alla reputazione, ma non sembra che questo sia più il caso.”

“Le persone vengono desensibilizzate,” disse Henderson. “Quando Talk Talk è stato colpito nel 2015, il prezzo delle azioni ha avuto un tale battito che ci sono voluti mesi per recuperare la situazione.” Questo è un contrasto con quello che è successo questa settimana, ha detto, sottolineando che quando Carphone Warehouse è stata colpita dalla sua multa, il prezzo delle azioni è sceso brevemente ... di un intero punto percentuale. E dato che la notizia della multa è stata annunciata lo stesso giorno in cui il direttore delle finanze del gruppo è uscito, la sanzione potrebbe non essere stata l'unica ragione della caduta del prezzo delle azioni.

Sembra esserci accettazione ora che i record dei clienti verranno hackerati e, mentre imbarazzante, non è un grosso problema. Dieci anni fa, forse, potrebbe causare immensi danni alla reputazione di un'azienda: in questi giorni, tali notizie causano solo un ripple nel prezzo delle azioni.

È proprio questo tipo di convinzione che GDPR è stato progettato per cambiare.

Quindi, quanto sono preparati gli operatori per la nuova realtà di GDPR? Secondo un sondaggio Clearswift dello scorso settembre, le organizzazioni non sono completamente preparate per i cambiamenti nella regolamentazione. La ricerca ha mostrato che solo circa un quarto delle aziende europee è pronto per GDPR e, mentre le società tecnologiche e di telecomunicazioni sono meglio preparate rispetto alla maggior parte, solo il 32% di questo settore è stato pienamente coinvolto.

impreparato

Ovviamente, quattro mesi fa, ci sono stati rapidi cambiamenti da allora, quando le aziende si sono svegliate alla realtà del GDPR. Il sondaggio Clearswift ha rilevato che il 44% delle aziende era ben avanzato nei loro piani, in attesa di essere conformi entro la scadenza di maggio. Uno dei fattori che ha guidato questo cambiamento è la consapevolezza che nonostante la Brexit, i cambiamenti stanno arrivando e che il Regno Unito al di fuori dell'UE non avrà alcun impatto sull'adozione del GDPR.

Ma anche includendo le società che formulano un piano, circa un terzo di tutte le organizzazioni non sarà pronto e comprenderà un certo numero di aziende di telecomunicazioni (il sondaggio di Clearswift non è andato troppo nel dettaglio). Anche se è solo una manciata, è un segnale preoccupante.

I ragazzi grandi saranno pienamente consapevoli dei problemi e avranno passato mesi a rafforzare i loro sistemi ma, prima o poi, si verificherà una violazione dei dati e questa volta, qualcuno verrà colpito da una grossa multa.

Sarebbe bello pensare che i sistemi degli operatori siano strettamente sicuri, ma l'uso di attacchi focalizzati sugli allegati significa che diventa più difficile legare saldamente le cose. Come disse Henderson di Glasswall: “È il dono che continua a dare.”

  • Le migliori offerte di telefonia mobile a gennaio