אחרי ההפרה החמורה: 125 מיליון דולר קנס לרשת מריוט הבינלאומית

רשת מלונות מריוט הבינלאומית נקנסה על ידי הרשויות בבריטניה בסכום של 99 מיליון פאונד, שהם כ-125 מיליוני דולרים, לאחר הפרת סייבר בקנה מידה גדול במחשביה, שהותירה מיליוני נתונים אישיים של לקוחות בסיכון.

נציבות המידע הבריטית, ה-ICO, הודיעה כי קיבלה בשורה על אירוע הסייבר במריוט בנובמבר 2018, ואמרה שההפרה חשפה מגוון נתונים אישיים של לקוחות הרשת, שכללו כ-339 מיליון רשומות אורח מכל רחבי העולם. 7 מיליון מהנפגעים הפוטנציאליים היו תושבי בריטניה.

מריוט עדכנה כי חקירה פנימית שביצעה הראתה שמאז 2014 הצליחו האקרים לגשת למסד הנתונים של הזמנת האורחים בחטיבת סטארווד שלה בארה"ב, ושבין הפרטים שעלולים היו להיחשף לתוקפים נכללו מספרי הדרכון ומספרי כרטיסי אשראי של הלקוחות. מריוט רכשה את סטארווד ב-2016, אך החשיפה של מידע על הלקוחות התגלתה לה רק אחרי 4 שנים תמימות. מאגר זה של סטארווד כבר אינו נמצא בשימוש בפעולות עסקיות של הרשת.

יצוין כי סוכנות רויטרס חשפה באוקטובר 2018, מספר ימים אחרי שנודע על אירוע הסייבר החמור, כי "האקרים סינים עמדו אולי מאחורי קמפיין שנועד לאסוף מידע לשימוש במאמצי הריגול בבייג'ינג, ולא למטרות רווח כספי", וזאת בהתבסס על דברי מקורות בלעדיים וחסויים שלה. בדיווח סויג עם זאת כי "על אף שסין מסתמנת כחשודה המוביל בפרשת מריוט, המקורות הזהירו כי ייתכן שמישהו אחר עומד מאחורי הפריצה, כי למפלגות אחרות יש גישה לאותם כלי פריצה, שחלקם פורסמו בעבר באינטרנט".

נכשלה בביצוע בדיקת נאותות מספקת כשרכשה את סטארווד

החקירה של ICO מצאה שמריוט נכשלה בביצוע בדיקת נאותות מספקת כאשר רכשה את סטארווד, וכן הייתה צריכה לעשות יותר בכדי לאבטח את המערכות שלה.

נציבת המידע, אליזבת דנהם, אמרה שתקנות הפרטיות, ה-GDPR, "מבהירות כי על ארגונים להיות אחראים לנתונים האישיים שהם מחזיקים. זה יכול לכלול ביצוע בדיקת נאותות בעת רכישה של החברה, וכן נקיטה באמצעי אחריות ראויים לצורך הערכה לא רק מהם הנתונים האישיים שנרכשו, אלא גם איך הם מוגנים".

"לנתונים האישיים יש ערך אמיתי, ולכן לארגונים יש חובה משפטית להבטיח את ביטחונם, בדיוק כמו שהם היו עושים עם כל נכס אחר. אם זה לא יקרה, לא נהסס לנקוט בפעולה עוצמתית בעת הצורך, כדי להגן על זכויות הציבור".

רשת מריוט הודיעה שבכוונתה לערער על הקנס.

ארנה סורנסון, נשיא ומנכ"ל מריוט אינטרנשיונל, אמר כי "אנו מאוכזבים מההודעה הזו על כוונת ה-ICO, אשר איתה נתמודד. מריוט שיתפה פעולה עם ה-ICO במהלך החקירה שלו את האירוע, אשר כרוך בהתקפה פלילית על מסד הנתונים של הזמנת האורחים סטארווד. אנו מצטערים מאוד שהתקרית התרחשה. אנו מתייחסים לפרטיות ולאבטחה של מידע האורחים ברצינות רבה, וממשיכים לעבוד קשה כדי לעמוד בסטנדרט המצוינות שאורחינו מצפים ממריוט".