“監管機構壓力很大,收件箱裏堆積了大量違規通知。”
自歐盟GDPR立法於2018年5月生效以來,歐盟數據保護機構已經收到了超過5萬9千個數據泄露事件的報告。
這是來自全球律師事務所DLA Piper新報告的調查結果,其發現英國數據保護機構信息專員辦公室(the Information Commissioners Offices,簡稱ICO)在過去8個月中收到了逾1萬個違規通知。
違規通知的嚴重程度從錯誤發送電子郵件,到最近空客遭黑客攻擊等重大泄露事件。
歐盟報告違規最多的國家是荷蘭,有超過1萬5個違規事件;德國排在第二,有超過1萬2千500個違規事件;英國位列第三,有1萬零600個;接下來就是愛爾蘭,同期報告了近4千起違規事件。
圖片來源:DLA Piper
GDPR違規罰款
針對新的GDPR法規,到目前爲止只施行了91項罰款,因爲過去一年中罰款的網絡事件很多都發生在GDPR新規發佈之前。迄今爲止最大的一筆罰款是5千萬歐元,由法國數據管理局CNIL向谷歌罰款,與其處理他們的用戶個人信息的方式有關。
報告中提到的其他罰款包括對一家德國公司2千萬歐元的罰款,因爲其沒有哈希其員工的密碼,該安全問題隨後導致了安全漏洞。同時,一家奧地利公司被罰款4千8百歐元,因爲其在公共道路上過度使用監控攝像頭。
隨着監管機構和數據保護部門逐漸適應新制度,並開始花時間評估每份報告,預計目前發出的罰款通知只是一波罰款潮的開始。
DLA Piper報告指出:“監管部門壓力很大,他們收到了大量違規報告。在分配資源時,不可避免地讓更奪人眼球的違規事件獲得優先權,因此,很多組織仍在等待來自監管部門的消息,看是否會針對他們已下發通知的有關違規採取措施。”
專注於網絡和大規模調查的DLA Piper合夥人Sam Millar對該報告評論道:“監管機構已經開始通過已經實施的91項GDPR罰款來展示自身的力量,但是,對谷歌的罰款是個具有里程碑意義的時刻,之所以引人注目,部分原因是它與個人數據泄露無關。考慮到數據泄露對個人受到傷害的風險更大,我們預計,監管機構將更嚴厲地對待數據泄露,施以更高的罰款。隨着監管機構清理積壓的通知,我們預計來年會有更多罰款。”
LogRhythm的副總裁兼歐洲、中東、非洲區域總經理Ross Brewer說:“重要的是企業不要滿不在乎。GDPR監管規則的實施是爲了改善數據保護,並且監管機構會毫不猶豫地懲罰那些不守規則的企業。網絡犯罪分子正在使用越來越複雜的戰術,並日漸頑固,企業需要確保自己做好充分的準備。只有使用正確的供應商和投資於能有效跟上威脅形式的正確技術(如NextGen SIEM;用戶和實體行爲分析,簡稱UEBA;安全協調;自動化和響應,簡稱SOAR),企業才能儘快發現並減輕威脅,避免監管機構的重罰。”
閱讀英文原文:Over 59,000 GDPR Infractions Reported in the Last Eight Months:https://www.cbronline.com/news/gdpr-breach-fines