GDPR Flash News: ICO fines Ticketmaster UK Limited

By Lydia Kakourou

GDPR Flash News: ICO fines Ticketmaster UK Limited £1.25million for failing to implement appropriate security measures to prevent a cyber-attack

This Flash News discusses the decision of the Information Commissioner’s Office (ICO) imposing a fine of £1.25million on Ticketmaster UK Limited for a data breach caused by a cyber-attack.

Below you may find the full article in Greek

 

Πρόστιμο στην Ticketmaster για παραβίαση δεδομένων προσωπικού χαρακτήρα

Της Λυδίας Κακούρου 

Ιστορικό

Η Βρετανική Αρχή Προστασίας Προσωπικών Δεδομένων (Information Commissioner’s Office-ICO) επέβαλε πρόστιμο ύψους 1.25 εκατ. στερλινών στην εταιρεία πώλησης και διανομής εισιτηρίων Ticketmaster για παραβίαση δεδομένων προσωπικού χαρακτήρα.

Η εν λόγω παραβίαση ήταν το αποτέλεσμα κυβερνοεπίθεσης και πρόσβασης στα δεδομένα πάνω από 9 εκατ. πελατών της εταιρείας διεθνώς. Ειδικότερα, το 2018, κυβερνοεγκληματίες χρησιμοποίησαν το chat-bot που είχε εγκαταστήσει η εταιρεία στην ιστοσελίδα της ηλεκτρονικής πληρωμής, αποκτώντας πρόσβαση στα προσωπικά δεδομένα  πελατών, ήτοι ονόματα, διευθύνσεις, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αριθμούς πιστωτικών και χρεωστικών  καρτών και αριθμούς CVV. Πολλά από τα στοιχεία αυτά χρησιμοποιήθηκαν από τους επιτιθέμενους χάκερς για τέλεση ηλεκτρονικών εγκλημάτων.

Διαπιστώσεις της εποπτικής αρχής

Η εποπτική αρχή, κατόπιν διερεύνησης του περιστατικού παραβίασης, κατέληξε στο συμπέρασμα ότι η εταιρεία απέτυχε να αξιολογήσει επαρκώς τον κίνδυνο από την τοποθέτηση chat-bot τρίτου μέρους στην ιστοσελίδα της. Περαιτέρω, αξιολογήθηκε η καταλληλόλητα των τεχνικών και οργανωτικών μέτρων που εφάρμοσε η εταιρεία, τα οποία κρίθηκαν ανεπαρκή. Ειδικότερα, η εταιρεία, σύμφωνα με την εποπτική αρχή, απέτυχε να εφαρμόσει μια αποτελεσματική «διαδικασία τακτικής δοκιμής, εκτίμησης και αξιολόγησης της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της επεξεργασίας», σύμφωνα με τις επιταγές του ΓΚΠΔ, με αποτέλεσμα την παραβίαση της αρχής της εμπιστευτικότητας και της ακεραιότητας.

Ως επιβαρυντικοί παράγοντες για τον προσδιορισμό του ύψους του προστίμου, ελήφθησαν υπόψη τα ακόλουθα: το γεγονός ότι η εταιρεία δεν ήταν σε θέση να προσδιορίσει τον αριθμό των επηρεαζόμενων φυσικών προσώπων τόσο πριν όσο και μετά την έναρξη ισχύος του ΓΚΠΔ, η ανεπάρκεια της ομάδας αντιμετώπισης περιστατικών παραβίασης που είχε ορίσει η εταιρεία στη διαχείριση του εν λόγω περιστατικού, η με αδικαιολόγητη καθυστέρηση γνωστοποίηση του περιστατικού στην εποπτική αρχή, παρά την ενημέρωση της εταιρείας για την παραβίαση από τρίτα μέρη εννέα εβδομάδες νωρίτερα της γνωστοποίησης.

Συμπέρασμα

Με την απόφαση αυτή, η εποπτική Αρχή προτρέπει τις επιχειρήσεις να «επενδύσουν» στα τεχνικά και οργανωτικά μέτρα προστασίας προσωπικών δεδομένων και να θέσουν ως προτεραιότητα στην εταιρική τους ατζέντα την υλοποίησή τους. Πέραν της εφαρμογής κατάλληλων τεχνικών και οργανωτικών μέτρων, εξαιρετικά σημαντική για τις επιχειρήσεις είναι και η «επένδυση» σε κατάλληλα εκπαιδευμένο ανθρώπινο δυναμικό για τη διαχείριση περιστατικών παραβίασης προσωπικών δεδομένων, με τη δημιουργία μιας άρτια καταρτισμένης ομάδας αντιμετώπισης τέτοιων περιστατικών.