İngiliz otorite, The Information Commissioner’s Office (ICO) otel grubu Marriott’a milyonlarca müşterinin kişisel verilerini güvenli şekilde saklamakta başarısız bulduğu için 18.4 milyon pound para cezası verdi.
2014 yılında Starwood Hotels’e yapılan bir siber saldırıda dünya genelinde 339 milyon misafir kaydının etkilendiği tahmin ediliyor. Bilinmeyen bir kaynaktan gelen saldırı, şirketin Marriott tarafından satın alındığı Eylül 2018’e kadar tespit edilememişti.
ICO’nun soruşturması sonunda, Marriott’un, Genel Veri Koruma Yönetmeliği’nin (GDPR) gerektirdiği şekilde, sistemlerinde işlenen kişisel verileri korumak için uygun teknik veya organizasyonel önlemleri uygulamaya koyamadığı sonucuna varıldı.
Kurumun yetkilisi Elizabeth Denham şunları söyledi:
”Kişisel veriler değerlidir ve işletmelerin bunlarla ilgilenmesi gerekir. Milyonlarca kişinin verileri Marriott’un ihmalinden etkilendi; binlerce kişi bir yardım hattına başvurdu ve diğerleri güvendikleri şirket bunu yapamadığı için kişisel verilerini korumak için harekete geçmek zorunda kalmış olabilir.”
ICO’nun cezası ihlal 2014 yılında başlamış olmasına rağmen GDPR kapsamında yeni kuralların yürürlüğe girdiği 25 Mayıs 2018’i başlangıç olarak kabul etti.
2014 yılında, tespit edilemeyen bir siber saldırgan, Starwood sistemindeki bir cihaza bir kod yükleyerek cihazın içeriğine uzaktan erişme ve düzenleme yetkisini ele geçirmişti.
Öte yandan Marriott grubu da konuyla ilgili aşağıdaki açıklamayı yaptı:
”Marriott karara itiraz etme niyetinde değildir, ancak karara veya temeldeki iddialara ilişkin hiçbir sorumluluk kabul etmez. ICO’nun da kabul ettiği gibi, Marriott soruşturma boyunca tam bir işbirliği yaptı.”
Marriott ayrıca olayın ve ICO’nun kararının yalnızca Starwood’un artık kullanımda olmayan başka bir ağıyla ilgili olduğunu vurguladı.
Kaynak: ICO
