Ποια ευθύνη φέρει μια επιχείρηση όταν αποκαλύπτει πληροφορίες πελατών;

Διέρρευσαν πληροφορίες εκατομμυρίων πελατών

Το Υπουργείο Δημόσιας Ασφάλειας έχει επισημάνει μια σειρά από τεχνολογικές επιχειρήσεις που έχουν διαρρεύσει πληροφορίες πελατών ή εταιρείες μεσιτείας υπηρεσιών ταξί που έχουν χρησιμοποιήσει διαρροές πληροφοριών επιβατών για να προσφέρουν υπηρεσίες μέσω μηνυμάτων SMS... Το Υπουργείο Δημόσιας Ασφάλειας δήλωσε επίσης ότι η τρέχουσα κατάσταση διαρροής και πώλησης προσωπικών δεδομένων είναι εκτεταμένη, δημόσια και ολοένα και πιο περίπλοκη. Πιο σοβαρά, πολλά δεδομένα πωλούνται δημόσια για μεγάλο χρονικό διάστημα, σε μεγάλες ποσότητες στον κυβερνοχώρο. Η αγοραπωλησία δεν πραγματοποιείται μόνο ατομικά, μεταξύ ατόμων, αλλά περιλαμβάνει και τη συμμετοχή εταιρειών, οργανισμών και επιχειρήσεων.

Το 2018, πληροφορίες σχετικά με τη διαρροή του Thegioididong.com και την απόκτηση σημαντικών πληροφοριών από χάκερ, όπως διευθύνσεις email, ιστορικό συναλλαγών, ακόμη και αριθμούς καρτών, αναφέρθηκαν από τεχνολογικά φόρουμ, προκαλώντας ανησυχία σε εκατομμύρια πελάτες. Το Gioi Di Dong εξέδωσε αμέσως δελτίο τύπου που επιβεβαίωνε ότι επρόκειτο για ψευδείς πληροφορίες, ότι το σύστημα ήταν ακόμα ασφαλές, λειτουργούσε κανονικά και δεν επηρεαζόταν. Μετά από αυτό, όλα σταδιακά ηρεμούσαν.

Τον Απρίλιο του 2018, η VNG κατέγραψε ότι 160 εκατομμύρια λογαριασμοί Zing ID κινδύνευαν να διαρρεύσουν και θα μπορούσαν να επηρεάσουν ένα μέρος των αρχείων πελατών τυχερών παιχνιδιών της εταιρείας. Η εταιρεία δήλωσε ότι είχε λάβει άμεσα μέτρα για την αντιμετώπιση, την αποτροπή εισβολής και τον περιορισμό του αριθμού των χρηστών που επηρεάστηκαν από το περιστατικό μέσω τεχνικών μέτρων. Ωστόσο, η VNG παραδέχτηκε ότι οι πληροφορίες ορισμένων χρηστών διέρρευσαν, αλλά «το εύρος των χρηστών που επηρεάστηκαν πραγματικά από αυτό το περιστατικό δεν είναι μεγάλο, επικεντρώνεται σε πελάτες τυχερών παιχνιδιών και δεν επηρεάζει άλλα προϊόντα VNG» και δεσμεύτηκε να διασφαλίζει πάντα τα δικαιώματα και την ασφάλεια των πελατών και να επιλύει διεξοδικά τυχόν προβλήματα που προκύπτουν για τους πελάτες...

Σύμφωνα με τον κ. Vo Do Thang, από το Κέντρο Κυβερνοασφάλειας Athena, για συγκεκριμένες περιπτώσεις όπως αυτή που ανέφερε το Υπουργείο Δημόσιας Ασφάλειας, πρέπει να διεξαχθεί έρευνα για να διαπιστωθεί εάν το σύστημα της εταιρείας δέχθηκε επίθεση ή εάν οι υπάλληλοι της εταιρείας έκλεψαν τα δεδομένα και τα δημοσίευσαν. Όποιος όμως και αν είναι ο λόγος, όταν διαρρέουν δεδομένα, σημαίνει ότι το σύστημα της εταιρείας έχει κάποιο τρωτό σημείο. Το τρωτό σημείο εδώ μπορεί να είναι τεχνικό ή ανθρώπινο. Επομένως, η διασφάλιση της ασφάλειας και προστασίας του δικτύου γενικά ή η προστασία των προσωπικών δεδομένων των πελατών πρέπει να παρακολουθείται και να εφαρμόζεται τακτικά 24/24, 365 ημέρες το χρόνο χωρίς αμέλεια. Επειδή κανείς δεν μπορεί να τολμήσει να ισχυριστεί ότι το σύστημά του είναι πάντα ασφαλές, επειδή οι χάκερ μπορούν να επιτεθούν ανά πάσα στιγμή. Για να μην αναφέρουμε την περίπτωση όπου οι ίδιοι οι υπάλληλοι της εταιρείας είναι αυτοί που κλέβουν δεδομένα πελατών για να τα πουλήσουν σε τρίτους...

Ο κόσμος έχει αυστηρές κυρώσεις, αλλά το Βιετνάμ έχει λίγες κυρώσεις.

Πρόσφατα, υπήρξαν μια σειρά από περιπτώσεις διαρροής πληροφοριών πελατών, αλλά σχεδόν καμία μονάδα δεν έχει τιμωρηθεί ή κυρωθεί. Εν τω μεταξύ, χώρες σε όλο τον κόσμο έχουν επιβάλει αυστηρές κυρώσεις για αυτή τη συμπεριφορά. Για παράδειγμα, τον Ιούλιο του 2019, η Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ αποφάσισε να επιβάλει πρόστιμο 5 δισεκατομμυρίων δολαρίων ΗΠΑ στο Facebook, μετά την παράνομη πρόσβαση και χρήση των προσωπικών δεδομένων 87 εκατομμυρίων χρηστών αυτού του κοινωνικού δικτύου από την Cambridge Analytica. Σύμφωνα με την έρευνα, το Facebook επέτρεψε στην Cambridge Analytica να έχει παράνομη πρόσβαση στα δεδομένα 50 εκατομμυρίων χρηστών στις ΗΠΑ κατά τη διάρκεια της προεκλογικής εκστρατείας για τις προεδρικές εκλογές του 2016, καθώς και του δημοψηφίσματος για το Brexit στο Ηνωμένο Βασίλειο το 2016... Αυτό είναι το μεγαλύτερο πρόστιμο που έχει επιβληθεί ποτέ στον κόσμο για σκάνδαλο διαρροής δεδομένων χρηστών.

Στο Βιετνάμ, υπάρχουν πολλοί κανονισμοί που σχετίζονται με κυρώσεις για διαρροή και αποκάλυψη πληροφοριών. Επί του παρόντος, το Σχέδιο Διατάγματος σχετικά με τις κυρώσεις για διοικητικές παραβάσεις στον τομέα της ασφάλειας δικτύων (το οποίο βρίσκεται υπό διαβούλευση και αναμένεται η δημοσίευσή του από την κυβέρνηση) ορίζει ότι η μέγιστη ποινή για οργανισμούς που παραβιάζουν τους κανονισμούς για την προστασία των προσωπικών δεδομένων είναι πρόστιμο έως και 5% των συνολικών εσόδων του προηγούμενου οικονομικού έτους στο Βιετνάμ για τη δεύτερη ή περισσότερες παραβάσεις. Ταυτόχρονα, μπορεί να υπάρχει πρόσθετη ποινή ανάκλησης της άδειας λειτουργίας του κλάδου, η οποία απαιτεί τη συλλογή προσωπικών δεδομένων για 1-3 μήνες.

Ο κ. Vu Ngoc Son, Τεχνικός Διευθυντής της VN ​​Cyber ​​​​Security Technology Company, δήλωσε ότι μέχρι σήμερα, λόγω της έλλειψης λεπτομερών κανονισμών για την προστασία των προσωπικών δεδομένων, οι επιχειρήσεις και οι οργανισμοί που παραβιάζουν θα υπόκεινται μόνο σε διοικητικές κυρώσεις. Ως εκ τούτου, η προτεινόμενη μέγιστη ποινή έως και 5% των συνολικών εσόδων στο επερχόμενο σχέδιο είναι κατάλληλη για το Βιετνάμ και έχει αποτρεπτικό αποτέλεσμα, ώστε οι μονάδες να έχουν μεγαλύτερη ευθύνη στην προστασία των δεδομένων των πελατών. Ωστόσο, σύμφωνα με τον κ. Son, αυτό το πρόστιμο δεν είναι ακόμη υψηλό σε σύγκριση με τον κόσμο. Επειδή σε πολλές χώρες, τα περισσότερα πρόστιμα θα επιβάλλονται με βάση την κλίμακα των επιπτώσεων κάθε παράβασης. Για παράδειγμα, εάν υπάρχει παράβαση που προέρχεται από μια μικρή επιχείρηση αλλά επηρεάζει σοβαρά μεγάλο αριθμό χρηστών, το πρόστιμο θα εξακολουθεί να είναι πολύ μεγάλο. «Στο Βιετνάμ, δεν υπάρχει ακόμη κλίμακα για την αξιολόγηση των επιπτώσεων κάθε περίπτωσης διαρροής προσωπικών πληροφοριών, επομένως είναι λογικό να προτείνουμε πρόστιμο με βάση τα έσοδα. Νομίζω ότι αυτό θα είναι ένα νέο βήμα προς τα εμπρός στη διαδικασία ελέγχου και προστασίας των προσωπικών δεδομένων των ανθρώπων», δήλωσε ο κ. Vu Ngoc Son.

Συμφωνώντας, ο κ. Vo Do Thang σχολίασε ότι η ύπαρξη πιο λεπτομερών κανονισμών σχετικά με συγκεκριμένες και δημόσιες διοικητικές κυρώσεις για πράξεις προστασίας των προσωπικών δεδομένων των πελατών θα αναγκάσει τις επιχειρήσεις να επανεξετάσουν τα συστήματα ασφάλειας δικτύου τους. Υπάρχει μια διαδικασία τακτικής αξιολόγησης και παρακολούθησης τόσο των τεχνικών όσο και των ανθρώπινων πόρων για τη διασφάλιση της εμπιστευτικότητας των πληροφοριών των πελατών. Αυτό είναι παρόμοιο με τους κανονισμούς για τη διασφάλιση της πυρασφάλειας σε κτίρια γραφείων και πολυσύχναστους χώρους. Οι κρατικές υπηρεσίες διαχείρισης πρέπει επίσης να ενισχύσουν την επιθεώρηση, την εποπτεία και την αυστηρή τιμωρία των παραβατικών επιχειρήσεων. Η πρώτη παράβαση μπορεί να δημοσιοποιηθεί στα μέσα μαζικής ενημέρωσης. η δεύτερη παράβαση θα υπόκειται σε αντίστοιχες διοικητικές κυρώσεις και στη συνέχεια η υπηρεσία μπορεί να ανασταλεί για ένα χρονικό διάστημα, ώστε η επιχείρηση να μπορέσει να ενισχύσει το σύστημα ασφάλειας δικτύου της.