Se alguém quisesse lembrar a ameaça que se aproximava do GDPR e as implicações para as empresas, então a multa de £ 400.000 entregue ao Carphone Warehouse, no início desta semana, teria sido um alerta.

Embora a multa não fizesse parte de nenhum arranjo de GDPR - que não entra em vigor até maio - o tamanho da mesma foi um pouco surpreendente. “É o tamanho da multa, que foi um pouco inesperado,” disse Lewis Henderson, da empresa de segurança Glasswall, destacando que as três milhões de contas de clientes excederam em muito os 157 mil registros de clientes na violação do Talk Talk: um incidente que também garantiu a quantia de £ 400.000. “Você quer saber o que uma empresa precisa fazer para ser atingida pelo máximo,” Henderson refletiu.

O tamanho da multa é significativo porque, em maio, o montante agora vertiginoso poderia ser diminuído pelas penalidades aplicadas por violar o GDPR. Então, enquanto os £ 400.000 são, como Henderson aponta, abaixo do máximo, são grandes o suficiente para servir como um tiro de advertência.

As operadoras de telefonia móvel e de telefonia, em virtude de suas grandes bases de clientes, serão alvos tentadores para criminosos cibernéticos e, dado o tamanho de seus volumes de negócios, serão alvos tentadores também para comissários de informação que procuram fazer um exemplo de prática de proteção de dados de má qualidade.

É justo dizer que não haverá multas pesadas nas primeiras semanas que o GDPR esteja em operação, mas é quase inevitável que dentro de um ano alguma empresa seja atingida. Parece haver uma crença flutuando em torno da indústria de que o tamanho das multas (em 4% do faturamento global) é tão falado. Mas, dada a prática desleixada de que muitas empresas estão se entregando, podemos esperar ver pelo menos uma empresa infeliz sendo atingida por uma grande penalidade., pour encorajador les autres.

Henderson disse que o mundo mudou desde que o GDPR se aproximou. “Fiz um cálculo rápido, e calculei que se a OIC multasse o Carphone Warehouse o máximo que pudesse sob as diretrizes do GDPR, teria sido atingido com uma multa de 190 milhões de libras esterlinas..”

E é a percepção de que as multas poderiam ser tão grandes que concentrarão as mentes dos operadores, garantindo que seus sistemas sejam tão robustos quanto possível. Mas, como Henderson disse, três anos após a violação de dados do Talk Talk, as empresas ainda estão sendo atingidas - apenas em novembro, foi relatado que a Three sofreu uma violação de dados por conta própria..

Mas a natureza do ataque mudou, disse Henderson. “Três anos atrás, os invasores estavam batendo na porta dos sites, eu diria que hoje em dia 60% dos ataques usam anexos de arquivos - eles são a maior ameaça.”

O fato de que os criminosos ainda estão ameaçando os registros dos clientes - quaisquer que sejam os métodos de ataque, é assustador o suficiente - mas um dos maiores contrapesos contra isso costumava ser o dano à reputação, mas não parece que é o caso por mais tempo..”

“As pessoas estão sendo dessensibilizadas,” disse Henderson. “Quando o Talk Talk foi atingido em 2015, o preço da ação levou uma surra que demorou meses para recuperar a situação.” Isso é um contraste com o que aconteceu esta semana, disse ele, ressaltando que quando a Carphone Warehouse foi atingida por sua multa, o preço da ação caiu brevemente ... por um ponto percentual inteiro. E dado que a notícia da multa foi anunciada no mesmo dia em que o diretor financeiro do grupo saiu, a multa pode não ter sido a única razão para essa queda no preço da ação..

Parece haver aceitação agora que os registros dos clientes serão hackeados e, embora embaraçosos, não é grande coisa. Há dez anos, talvez, isso pudesse causar danos imensos à reputação de uma empresa: hoje em dia, essas notícias causam apenas uma onda no preço das ações..

É precisamente esse tipo de crença que o GDPR foi projetado para mudar.

Então, quão preparados estão os operadores para a nova realidade do GDPR? De acordo com uma pesquisa da Clearswift de setembro do ano passado, as organizações não estão totalmente preparadas para as mudanças na regulamentação. A pesquisa mostrou que apenas cerca de um quarto das empresas europeias está preparada para o GDPR e, embora as empresas de tecnologia e telecomunicações estejam melhor preparadas do que a maioria, apenas 32% deste setor estava totalmente engajado..

Despreparado

Isso, é claro, foi há quatro meses, houve mudanças rápidas desde então, à medida que as empresas despertaram para as realidades do GDPR. A pesquisa da Clearswift descobriu que 44% das empresas estavam bem adiantadas em seus planos, esperando estar em conformidade com o prazo de maio. Um dos fatores que tem impulsionado essa mudança é a constatação de que, apesar do Brexit, as mudanças estão chegando e o Reino Unido fora da UE não terá impacto sobre a adoção do GDPR..

Mas mesmo incluindo as empresas que formulam um plano, cerca de um terço de todas as organizações não estarão prontas e isso incluirá várias empresas de telecomunicações (a pesquisa da Clearswift não entrou em muitos detalhes). Mesmo que seja apenas um punhado, esse é um sinal preocupante.

Os garotos grandes estarão cientes dos problemas e terão passado meses apertando seus sistemas, mas, mais cedo ou mais tarde, haverá uma violação de dados e, dessa vez, alguém será atingido por uma grande multa..

Seria bom pensar que os sistemas das operadoras estão bem seguros, mas o uso de ataques focados em anexos significa que fica mais difícil amarrar as coisas com firmeza. Como Henderson da Glasswall disse: “É o presente que continua dando.”

  • Melhores ofertas de celulares em janeiro