Firma Symantec przeanalizowała systemy ochrony danych osobowych ponad 1500 hoteli w 54 krajach. Wyniki badania okazały się niepokojące. 67% stron internetowych hoteli nieumyślnie udostępnia informacje o rezerwacji oraz dane osobowe klientów stronom trzecim – reklamodawcom czy firmom analitycznym.
W większości przypadków dane pozostają widoczne, nawet jeśli rezerwacja zostanie anulowana. Co więcej, 29% hoteli, które wysyłają swoim klientom wiadomości e-mail z bezpośrednim linkiem do rezerwacji, nie szyfruje go. W związku z tym otwieranie ich podczas korzystania z niezabezpieczonych publicznych punktów dostępu do internetu umożliwia ich łatwe przejęcie przez hakerów.
– Brak odpowiedniego zabezpieczenia gromadzonych danych osobowych jest nie tylko poważnym naruszeniem przepisów dotyczących ich ochrony, ale może również stanowić źródło daleko idących problemów finansowych dla właściciela hotelu. Przede wszystkim naraża się on na karę na mocy RODO w wysokości nawet wielu milionów euro. Jeśli jednak dojdzie do ataku hakerskiego i wycieku informacji skala wydatków, które będzie musiał ponieść administrator danych, może się okazać znacznie wyższa. Wśród koniecznych do poniesienia wydatków znajdą się m.in. wszelkie koszty związane ze zwalczeniem ataku czy akcją informacyjną do osób, których dane zostaną skradzione. Nie można też wykluczyć konieczności wypłaty odszkodowania lub zadośćuczynienia klientom. Na szczęście wszystkie te wydatki można uwzględnić w cyberpolisie – zauważa Łukasz Zoń, prezes Stowarzyszenia Polskich Brokerów Ubezpieczeniowych i Reasekuracyjnych.
• 67% witryn hotelowych nieumyślnie przekazuje dane rezerwacji stronom trzecim.
• Wyciek danych osobowych jest dla hotelu jedynie początkiem efektu domina wciąż rosnących kosztów.
• Polisa od zagrożeń cybernetycznych pozwala zminimalizować skutki finansowe i wizerunkowe ataku hakerskiego.
Jakie dane mogą wyciec?
Podczas masowego cyberataku na sieć hoteli Starwoods, do której należą m.in. Sheraton czy Westin wyciekło ok. 383 mln rekordów gości. Wśród skradzionych danych znalazło się m.in. ok. 9,1 mln zaszyfrowanych numerów kart płatniczych i ok. 18,5 mln zaszyfrowanych numerów paszportów. Co więcej, wśród skradzionych informacji może znajdować się także kilka tysięcy niezaszyfrowanych numerów kart płatniczych oraz ok. 5,25 mln niezaszyfrowanych numerów paszportów. Część rekordów ujawnia też szczegółowe dane osobowe w postaci powiązania imion i nazwisk z adresem zamieszania, numerem telefonu, adresem e-mail, numerem paszportu, danymi Starwood Preferred Guest, datą urodzenia, płcią, informacjami o przyjeździe i wyjeździe, dacie rezerwacji i preferencjach komunikacyjnych.
Jaką ochronę może zapewnić cyberpolisa?
Wyciek danych osobowych jest dla hotelu tylko początkiem efektu domina wciąż rosnących kosztów. Ostatnią deską ratunku dla zachowania płynności finansowej przedsiębiorstwa może okazać się odszkodowanie z cyberpolisy. W zależności od wybranego wariantu ubezpieczenie może pokryć koszty związane z naprawą szkód spowodowanych naruszeniem danych, wprowadzeniem nowego systemu ochrony informacji, postępowaniami prawnymi czy wypłatą rekompensat dla osób fizycznych oraz prawnych.
– W ściśle określonych przypadkach, środki z polisy mogą również zostać przeznaczone na zapłatę kar administracyjnych. Należy jednak pamiętać, że ubezpieczyciele co do zasady przewidują znaczący udział własny ubezpieczonego w tym obszarze. Co więcej, ochrona może obejmować także działania służące odzyskaniu utraconej reputacji, jak i pokryciu strat finansowych wynikających z ewentualnego przestoju w działalności – dodaje Łukasz Zoń.
Cyberpolisą powinni się zatem zainteresować wszyscy przedsiębiorcy przetwarzających dane osobowe za pomocą systemów elektronicznych. Kupując ją, tak samo, jak w przypadku innych ubezpieczeń, nie można jednak zapomnieć o dokładnym zapoznaniu się z ogólnymi warunkami ubezpieczenia. Warto zwrócić szczególną uwagę na ograniczenia ochrony ubezpieczeniowej i sytuacje, których ubezpieczenie nie obejmuje. Z reguły środki nie zostaną wypłacone m.in. w przypadku szkód powstałych wskutek braku regularnej aktualizacji oprogramowania lub korzystania z nielicencjonowanej ochrony antywirusowej czy systemu operacyjnego. Koniecznością jest czasem również posiadanie kopii zapasowej danych elektronicznych.
Źródło: Stowarzyszenie Polskich Brokerów Ubezpieczeniowych i Reasekuracyjnych
