venerdì 19 luglio 2019

Sanzioni GDPR (Google, Facebook, Marriott e BA) e riflessioni

In questi tempi si moltiplicano le notizie sulle sanzioni milionarie a seguito di violazioni di dati personali.

Google è stata multata per mancanza di trasparenza:
- https://www.bbc.com/news/technology-46944696;
- https://www.agendadigitale.eu/sicurezza/google-e-facebook-con-la-privacy-non-si-scherza-piu-le-prime-avvisaglie-in-europa-e-usa.

E infine Facebook per diverse violazioni:
https://arstechnica.com/tech-policy/2019/07/facebooks-ftc-fine-will-be-5-billion-or-one-months-worth-of-revenue/.

Non ne ho parlato perché in definitiva non aggiungono niente di nuovo sulle "cose da fare".

Mi hanno invece incuriosito molto le vicende della Marriott e della British Airways, ambedue sottoposte a multe miliardarie dall'ICO, ossia il Garante UK.

Un articolo sulla multa alla catena di hotel Marriott:
- http://www.ictbusiness.it/cont/news/nuova-vittima-del-gdpr-maxi-multa-anche-per-marriott-international/43277/1.html.

L'annuncio dell'EDPB sulla multa alla Marriott:
- https://edpb.europa.eu/news/national-news/2019/ico-statement-intention-fine-marriott-international-inc-more-ps99-million_en.

Su questa c'è anche un articolo più tecnico sull'attacco alla Marriott:
- https://www.zdnet.com/article/marriott-ceo-shares-post-mortem-on-last-years-hack/.

Mi pare che quelli della Marriott abbiano dimostrato molta attenzione sulla vicenda e che siano stati loro stessi a renderla pubblica. In altre parole, non mi pare che la multa sia giustificata.

Anzi: quelli della Marriott usavano una tecnologia (IBM Guardium) dedicata a lanciare allarmi relativi a "strane" query sui database. IBM sarà contenta della pubblicità gratuita, ma mi pare interessante sapere che esistono queste tecnologie (temo però che al momento siano molto costose e difficili da mantenere).

Dall'altra parte, l'ICO non si è preoccupata di rilevare gli investimenti fatti da Marriott e il livello di prevenzione adottato, ma, più o meno, ha detto: "poiché avete avuto un incidente, vuol dire che avete sbagliato e quindi dovete pagare". Non mi pare sia questo lo spirito del GDPR. Mi pare piuttosto sia di verificare se l'azienda ha fatto quanto possibile per evitare gli incidenti.

Caso simile è quello della British Airways. Qui il comunicato dell'EDPB sulla multa comminata dall'ICO:
- https://edpb.europa.eu/news/national-news/2019/ico-statement-intention-fine-british-airways-ps18339m-under-gdpr-data-breach_en.

Qui invece un articolo più tecnico che, in sostanza, dice che sarebbe stato molto ma molto difficile identificare l'attacco (sfortunatamente non spiega come prevenirlo in futuro):
- https://www.riskiq.com/blog/labs/magecart-british-airways-breach/.

Nessun commento:

Posta un commento