Facebook, Under Armour, Exactis, British Airways… Список компаний, которые пострадали от массовых нарушений данных в 2018 году продолжает расти: по данным Verizon, в этом году их было более 2 200. Это не тот список, в котором компании хотели бы появиться, не говоря уже о первом месте в нем. Тем не менее, всего за несколько недель до конца года компания Marriott International пробилась в этот список, а из-за огромного количества украденных данных попала сразу в верхушку этого «рейтинга».


Топ-10 утечек данных за всю историю.
Источник: https://qz.com/1480809/the-biggest-data-breaches-of-all-time-ranked/

Гостиничный сектор: бессонные ночи

30 ноября стало известно, что данные примерно 500 миллионов пользователей гостиничной группы Marriott International могли быть связаны с нарушением данных. Фактически, это не только крупнейшая утечка данных в этом году, но также и второе по величине нарушение данных за всю историю.

Сеть отелей заявила, что база данных принадлежащей ей компании Starwood (владеет такими брендами как Westin, Sheraton и W Hotels), была взломана неизвестными лицами, и что злоумышленники сумели получить доступ к данным пользователей сети отелей с 2014 года.

Речь идет о данных примерно 327 миллионов гостей, которые были похищены кибер-преступниками: информация представляла собой «комбинацию» ФИО, физического адреса, номера телефона, адреса электронной почты, данные паспорта, банковские сведения, дата рождения, пол, а также сведения о прибытии в отель и выезде.

Компания также подтвердила, что некоторые записи содержали зашифрованную информацию о платежных картах, при этом не было исключено, что кибер-преступники могли украсть и ключи для расшифровки.

Чтобы помочь своим пользователям, Marriott создала веб-сайт для предоставления им дополнительной информации. Помимо веб-сайта, компания начала процесс уведомления пострадавших пользователей по электронной почте. Как часто случается с инцидентами такого рода, существует риск того, что мошенники воспользуются преимуществами сложившейся ситуации для запуска фишинговых атак. Для борьбы с этим Marriott заявила, что не будет запрашивать в своих письмах персональную информацию, а также не будет вкладывать в письмо какие-либо документы.

Последствия нарушения данных

Это нарушение данных было обнаружено всего несколько дней назад, и поэтому нам придется подождать некоторое время, чтобы увидеть последствия, с которыми столкнется компания. Несмотря на то, что Marriott является американской компанией, она обрабатывает персональные данные граждан Евросоюза. Это означает, что она является субъектом нового европейского законодательства о защите персональных данных (GDPR). Имея в 2017 году годовой оборот в размере 22,9 миллиардов долларов США (20 171 350 500 евро) при применении самого сурового штрафа (4% от общего годового оборота) Marriott будет вынужден заплатить 916 миллионов долларов США (807 миллионов евро).

Как защитить персональные данные

Чтобы сторонние люди не попадали в ИТ-системы вашей компании, крайне важно иметь возможность контролировать всю активность на каждом конечном устройстве. Panda Adaptive Defense, передовое решение информационной безопасности с опциями расширенной защиты, предлагает такую возможность, а потому вы сможете точно знать, что происходит в вашей сети, и пытается ли кто-нибудь получить доступ туда, куда ему не следует.

Более того, Panda Adaptive Defense имеет модули, специально созданные для того, чтобы предотвратить доступ, модификацию и извлечение данных, хранящихся в вашей компании. Panda Data Control предлагает мониторинги и обнаружение всех неструктурированных персональных данных (PII) на всех конечных устройствах. Таким образом, вы не только будете знать, какие данные у вас имеются и где они расположены, но также вы будете знать о том, если кто-то пытается получить доступ к ним или изменить их.