万豪确保了ICO的80%罚款,但这就是你错过的东西......

高速上英镑的高跟鞋发给英国航空公司,信息专员办公室(“ico“)已发出Marriott International Inc.(”万豪“)未来期待已暂时的罚款通知,以确保其处理的个人数据的适当安全性。全球连锁酒店已被罚款1840万英镑,这是ico议定书令人挑剔的9.92亿英镑的大幅减少。不幸的是,该决定未能提供任何详细的解释,从9.92亿英镑到2800万英镑的罚款。虽然,旨在确认万豪合作的20%达到2240万英镑,而另一千万英镑的减少是反映冠状病毒大流行的影响。

截止了四年以上的万豪袭击事件影响了估计的3.39亿客人纪录(属于欧洲公民)。在其他人中,攻击者访问了1850万加密护照号码(其中429万属于EEA公民)和910万加密支付卡详细信息(其中873,000属于EEA客户)。其他类别的个人数据,例如访客名称,性别,出生日期,电子邮件地址和电话号码也受到损害。

该决定特别重要于收购,因为突破在喜达屋酒店和WorldWide Inc.的酒店(“达莱屋“)在2016年9月的Marriott收购之前。在收购时,袭击者一直曾在喜达屋的网络基础设施中大约两年 - 然而,万豪遭受罚款和相关成本。

我们已经了解了关于万豪和英国航空公司案件关于关于我们在我们的监管调查中彻底和强劲陈述的重要性的思考英国航空公司博客帖子。在这里,我们希望专注于采购尽职调查和另外两个外卖的影响:(i)不关注您安全的一部分的重要性,以排除其他人和(ii)依靠第三方管理您的网络risk does not give you a ‘get out of jail free’ card.

ICO认识到采购前尽职调查的挑战。

2014年,喜达屋的系统受到损害。在2016年收购喜达屋之后,尽管没有发现违约或参与导致违约的安全失败,但持续的网络攻击成为万豪的争夺问题。

万豪曾表示,在2016年收购喜达屋之前,它“只能在达到达达赛中进行有限的尽职调查”。ico在2018年5月(注意到它“(注明它)之前在GDPR生效的时期内取得任何调查未确定万豪是否有可能在收购期间进行尽职调查“)。然而,有趣的是,ico继续承认那里“可能是在收购期间无法进行竞争对手的深入尽职调查的情况。“有许多原因可能是这样的原因。首先,在卖方(在英语法下)没有一般性义务(在英语法下),因此,买方依赖于通过Q&A从卖方获得的信息(注意到卖方可能在扣缴欺诈中责任信息)。其次,在A(英国公共)收购过程中,投标人通常限于公开信息和某些类别的非敏感信息(因为,在英国,任何竞标者都有权接收与原始投标人相同的信息)。紧张的压力以及时的方式,竞争过程,到目标业务的底部的复杂性,以及卖党的限制可能会寻求施加(例如反映预先存在的机密性限制)愿所有人都达到进一步限制访问尽职调查。尽管如此,收购企业需要仔细思考他们在勤奋的问题上对网络安全提出的问题:了解从一开始就理解安全状态,因此可以在必要时,可以进行安全记录和监测的变更完成后立即。这些业务也可能希望考虑他们是否参与专家外部网络安全公司来帮助框架和/或进行尽职调查锻炼。

这一切都不是说依赖勤奋不能是防守。事实上,尽管上面有有限的评估,但ICO发现万豪有权依赖于应用多因素认证的某些信息(“MFA.“)到称为持卡人数据环境的关键系统(”CDE.“)。该信息由独立评估员(一个发布的预购和其他收购事项之一)包括两个报告,LED万豪相信 - 不正确 - MFA在整个CDE中到位。ico得出结论认为,万豪“通过依赖于违反GDPR下的义务并未违反“报告等并没有考虑到其决定的MFA失败。

随着强大的尽职调查,买家还应确保在任何明确的收购文件中寻求适当的保修和赔偿保护。买家可能还希望考虑取出特定保修和赔偿保险单的优点,该赔偿保险单可能能够违反任何最终收购协议所包含的任何陈述和保证,并且可以提供比否则可能会与卖方达成一致。但是,应该指出,在任何此类政策下,封面的范围和力量可能会依赖于买方尽职调查锻炼的鲁棒性和强度。

当然,合规过程并没有停止遭到收购后 - 无论在尽职调查中所学到的内容如何。ico认识到收购是“触发器“(重点在原来),”在其数据操作方面需要一个适当调查的控制器的需求并没有时间限制或“一次性”要求。“因此,当灰尘结算后,企业不能自满:他们必须在他们获得的IT网络上获得良好的掌握,并确保它符合法律要求的适当技术和组织措施,并确保确定任何不足尽快发行后立即解决。这对于合规性至关重要,并且作为万豪案例所示,对于识别您现在拥有的网络的进展或即将攻击的机会也是至关重要的。隐私和网络安全风险评估现在应该是所有收购后工作流的关键因素。他们应该是交易团队的一体化计划的一部分,并且在可能的情况下,结构预先处理了现有管理层洞察力的利益。买家可能还想考虑取出特定网络安全保险政策的优点,可能有助于减轻任何收购后网络违约的影响。

不要专注于您安全的一部分,以排除所有其他人。

我们的第二个外带是不关注您安全的一部分的重要性,以排除所有其他人。

Marriott由ICO批评专注于保护付款卡信息(“PCI.“)高于其他安全风险。当然,保护PCI是重要的,因为它可能是大多数企业遵守数据主体的最敏感的数据之一。ICO承认,需要“基于风险的方法”,并且PCI数据“可能是最高的风险类别”保证比其他数据更高。但ICO认为万豪未能实施适当的技术和组织措施,以确保“所有其他个人数据的适当整体安全水平”。

万豪受到缺乏伐木和监测的批评,以检测和减轻攻击。它仅设置为在PCI数据上发出警报。ICO得出结论认为,“虽然基于风险的方法可能需要支付卡数据额外的安全警报,这不仅仅是完全缺少的警报......其他个人数据。“(重点是原来的。)

虽然罚款通知反复强调,但没有一种网络安全措施是抗攻击的灵丹妙药,这在释放您在GDPR下的职责方面是一种防御。企业需要全面的策略来了解他们所持有的个人数据以及最低要求的安全性,并在迁移到基于风险的方法之前应该到位,以便确定可能需要额外的安全性。

你不能外包风险。

值得关注的最终外带是ICO对争论争论偏离荣屋安全管理的决定,以评估万豪对袭击责任的责任来拒绝争论。“

在拒绝这一论点时,ICO发现,第三方顾问的参与“不会减少万豪对违反GDPR的责任”,“第三方的参与不能减少[万豪]的责任。”

这一结论并不是特别令人惊讶,但它确实为没有万豪资源的企业创造了一些困难。较小企业依赖专家安全提供商的程度如何合理?虽然它们可能不会像万豪的目标那样明显的目标,但赎金软件仍然是小型和中型企业的不成比例的问题,而大约60%的攻击袭击事业占收入不到5000万美元。这些企业难以证明遵守GDPR除非他们依靠网络安全专家的建议。

在我们看来,网络安全问题的复杂性意味着每个企业都有一个不同的风险简介,需要不同的网络安全方法和不同的内部技术能力来监测网络安全,在大多数情况下,寻求专家的网络安全建议可能是至关重要的。但是,企业不得认为这一建议赦免了他们的责任或监测和理解风险的责任。企业必须认真对待这一建议,并避免在下一季度或次年的另一天讨论困难的讨论。这是对响应该建议作出的决定负责的业务,并且不适用于监管机构判断是否适当给予该建议或妥善执行服务。正如我们在最近的“网络和C-Suite”研讨会中讨论的那样,鉴于该问题的复杂性,为了满足他们的责任,董事会需要考虑他们在业务中具有妥善监测此类建议的技术能力。

得到教训

虽然许多博客将专注于精致的Marriott所面临的水平,我们认为,这不是ICO发布的冗长货币罚款通知最重要的外卖。组织可以从理解罚款背后的内容中学习很多,可以采取措施减轻他们的网络和隐私风险。

  1. 确保在收购前尽职调查和后期融合中适当关注网络和隐私,并考虑适当的保修保护以减轻风险。
  2. 采取组织方法来评估风险。虽然GDPR允许基于风险的隐私和网络安全的方法,但有必要评估所有类型的个人数据的风险,而且不仅仅关注明显的高风险领域。
  3. 虽然公司通过在必要时使用外部顾问来补充自己的网络安全和隐私团队是良好的做法,但该公司将保持责任。因此,数据控制器必须确保他们不依赖第三方,并确保他们自己令人满意,他们理解网络和隐私风险。

一些背景:攻击的解剖学

2014年7月,攻击者通过在其一个设备上安装Web shell来定向哈林的IT系统。此Web shell授予攻击者远程访问系统,它们已被剥离以安装恶意软件远程访问特洛伊马(“大鼠“)。反过来,大鼠授予攻击者的远程管理员控制系统。攻击者还安装并执行了一个名为Mimikatz的软件,该软件使其使其能够从系统中暂时存储登录凭据。随后,创建了几个文件,可能会从某些表中删除数据。在2016年9月,万豪巡回赛继续追求哈林,并在2018年5月推出GDPR之后。2018年9月,攻击者对包含客户支付卡详细信息的表进行了行动。这触发了一个警报,最终导致了2018年9月8日的违约。重要的是,只发送此类警报,因为表包括支付卡详细信息。早期访问不包含此类别的其他表的访问不会提示警报。

在发现之后,Marriott迅速迁移,实施其事件响应计划,并在70,000个遗留雪屋设备上部署实时监控和取证工具。这使Marriott能够实时监控和识别可能的恶意活动。在2018年9月至11月的课程中,法医分析揭示了大鼠和Mimikatz的存在,以及2018年7月的进一步未经授权的活动。联邦调查局(“联邦调查局“)于10月中旬联系,并于11月22日向ICO通知。11月30日,万豪推出新闻稿,创建了专用网站并通过电子邮件提醒客户。

在10月20日的决定中,ico发现万豪未来未能“以确保个人数据的适当安全性的方式处理个人数据,包括使用适当的技术和组织措施防止未经授权或非法处理和违反意外损失,破坏或损害的保护“。[1]具体而言,酒店连锁店未能遵守第5(1)(F)GDPR和第32条GDPR。


[1][1.6]