Švýcarskému mobilnímu operátorovi Swisscom ukradli osobní údaje 800 tisíc klientů, což je 10 % obyvatel Švýcarska. Neznámí útočníci se dostali ke jménům, adresám, telefonním číslům a datům narození zákazníků skrze přístupové údaje obchodního partnera. Únik se stal už loni na podzim. Swisscom to ale oznámil teprve včera. Tedy téměř po půlroce. V souvislosti s blížícím se nařízením GDPR o ochraně osobních údajů to staví Swisscom do centra pozornosti.
I když podle stávajících švýcarských zákonů nejde o citlivé údaje, jde o závažnou situaci. Na typ dat, který Swisscomu unikl, se vztahuje i blížící se nařízení GDPR, které bude účinné už 25. května 2018. Pokud by GDPR bylo účinné už nyní, Swisscom by se ocitl v ještě nepříjemnější situaci. „Únik takového rozsahu a tohoto typu dat, ohlášený s takovým zpožděním by mohl stát firmu Swisscom nemalé peníze na pokutách. GDPR se totiž nevztahuje pouze na firmy Evropské unie, ale i na všechny firmy světa, které pracují s osobními daty občanů EU,“ vysvětlil odborník na GDPR a bezpečnost dat ze Safetica Technologies Matej Zachar.
Swisscom ve své tiskové zprávě uvedl, že nedošlo k úniku žádných citlivých informací, jako jsou hesla, konverzace či údaje o platbách. Přesto je otázkou, co takový únik dat udělá s důvěryhodností firmy. „I když nejde o citlivá data, zákazníci to mohou vnímat jinak. Právě ztráta reputace a důvěryhodnosti bývá častým důsledkem úniku dat, se kterým se obtížně bojuje,“ podotkl Zachar.
Swisscom se snaží problematickou situaci řešit řadou kroků, jako je omezení přístupu partnerů anebo omezení množství dat předávaných třetím stranám. „Swisscom postupuje takřka ukázkově. Únik oznámil, i když se zpožděním. Svým zákazníkům nabídl možnost ověřit si, zda jejich data unikla. A hlavně, připravuje další bezpečnostní opatření, aby se už nic takového neopakovalo,“ pochválil postup Swisscomu Zachar.
Únik dat společnosti Swisscom svým rozsahem připomíná dva roky starý incident z Česka, kdy zaměstnanec společnosti T-Mobile vynesl zákaznická data o 1,2 milionu klientů. Úřad pro ochranu osobních údajů následně udělil T-Mobile pokutu ve výši 3,6 milionu korun za to, že operátor nedostatečně zabezpečil data.
Z úniku dat Swisscom se podle Zachara můžeme poučit. „Tady vidíme, že i firma, která úzkostlivě dbá na bezpečnost dat, může přijít o osobní údaje zákazníků vinou třetí strany. Stačí jen nepromyslet do detailů, jak s nimi budou obchodní partneři nadále pracovat. Proto GDPR vyžaduje, aby takové předávání osobních dat bylo podloženo smlouvou a aby firmy myslely na bezpečnost dat už při plánování jejich datových systémů, firemních procesů a vůbec způsobu práce,“ vysvětlil Zachar.