I
data breach creano grandi preoccupazioni alle aziende, che
temono danni d'immagine e multe. Il caso di Booking fa capire quanto questi timori siano fondati. Nel 2018 l'azienda con sede nei Paesi Bassi ha subito un data breach che ha
esposto online i dati di oltre 4.100 clienti.Booking.com scoperto la violazione il 13 gennaio 2019 e ha segnalato l'incidente alle autorità di regolamentazione il 7 febbraio 2019. Peccato che la normativa GDPR imponga che tutte le violazioni debbano essere segnalate
entro 72 ore dalla scoperta.
Da qui l'ammenda di 475.000 euro.L'Autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens, AP) ha inflitto la multa, definendo l'incidente una "grave violazione" del regolamento UE sulla protezione dei dati. Il vicepresidente di AP Monique Verdier ha
dichiarato che quella ai danni di Booking è stata "
una grave violazione. Un data breach può purtroppo verificarsi ovunque, anche se sono state prese buone precauzioni. Ma per evitare danni ai clienti e che l'accaduto si ripeta, bisogna segnalarlo per tempo".
Verdier ha aggiunto che
la celerità nella segnalazione è molto importante per tutelare le vittime. Infatti, a seguito della segnalazione, AP può, tra le altre cose, ordinare a un'azienda di avvisare immediatamente i clienti coinvolti. Così facendo può cercare di
lasciare ai criminali il minor tempo possibile per sfruttare a proprio vantaggio i dati ottenuti.
La risposta di Booking
Un portavoce di Booking.com ha sottolineato che la multa non è collegata in alcun modo alle pratiche di sicurezza dell'azienda, né alla gestione complessiva dell'incidente, ma solo alla sua notifica tardiva. Il motivo del ritardo è imputato al fatto che
l'azienda ha cercato di risolvere internamente la questione, impiegando più tempo del previsto.
Nel caso specifico, le indagini sono andate a rilento perché gli addetti interni alla sicurezza cercavano una violazione dei database o della piattaforma online di Booking.com, che in effetti non c'è stata. Il problema è stato che alcune strutture convenzionate hanno inavvertitamente fornito i dettagli di accesso al proprio account Booking.com ai truffatori online, facendosi abbindolare da attacchi mirati di
social engineering.
Imparata la lezione, l'azienda ha istituito una serie di
corsi di formazione per partner e dipendenti al fine di migliorare la loro consapevolezza sulle modalità di attacco, sui rischi per l'azienda, sulle normative sulla privacy e sui processi di sicurezza in generale. Inoltre, Booking ha fatto sapere che sta lavorando per ottimizzare la velocità e l'efficienza dei canali di reporting interni.