Kategorier
Engelskspråkig media Marriott slashes

ICO sänker Marriott-brottet till 18,4 m

Minskad böter visar både förbättringar av hotellgruppens cybersäkerhet och effekten av coronavirus på rese- och gästfrihetssektorn

Alex Scroxton

Förbi

  • Alex Scroxton, Säkerhetsredaktör

Publicerad: 30 okt 2020 12: 25

UK Information Commissioner’s Office (ICO) har böter hotellverksamheten Marriott ₤ 184 m enligt General Data Protection Po licy (GDPR) över cyberattacken 2014 på Starwood-kedjan som gjorde att 393 miljoner klientposter äventyrades. Det reviderade bötesbeloppet är en 81-veck på det ursprungliga beloppet på ₤ 99 m

Den nuvarande minskningen kommer bara två veckor efter att British Airways lyckades och argumenterade för ₤ 183 m data försvar böter till ₤ 20 m , vilket återspeglar de steg som flygbolaget sedan krävde för att rätta till utrymmen i sin säkerhetsställning, som samt effekterna av Covid-19-pandemin. ICO uppgav idag att minskningen av Marriotts böter också visade dessa aspekter.

ICO sa att Marriott faktiskt hade handlat omedelbart för att kontakta konsumenterna och underrätta myndigheterna när det slutade vara medvetet om problemet och har faktiskt övervägt att utförda mer lämpliga säkerhetsrutiner.

“Personlig information är värdefull och tjänster måste ta hand om den”, säger informationskommissionär Elizabeth Denham.

“När en tjänst slutar fungera för att ta hand om kundens data är effekten inte bara en möjligt bra, det som betyder mest är allmänheten vars information de hade en uppgift att skydda. “

Händelsen 2014 på Starwood låg oupptäckt till november 2018 , och var resultatet av en relativt obetydlig kompromiss av cyber bad guys, som injicerade webbskalkod till en enhet i Starwoods nätverk, som de använde för att installera en fjärråtkomst för att få tillgång till trojan (Rat) och få full tillgång till som en privilegierad användare.

De installerade och utförde sedan Mimitatz efter exploateringsverktyget för att samla legitima referenser och därifrån få tillgång till och exfiltrera Starwoods konsumentbokningsdatabas.

Informationen bestod av namn, e-postadresser, telefonnummer, okrypterade lösenordsnummer ankomst- och avgångsinformation och åtagandeprograms status. Cirka sju miljoner av de berörda informationspunkterna förknippade med brittiska medborgare.

Fienden behöll tillgången till information i Starwoods nätverk i nästan 4 år, genom förvärvet av kedjan av Marriott 2016, även om dess nätverk förblev segregerat från Marriotts under hela integrationsförfarandet.

De avslöjades när de genomförde en åtgärd i databasen den 7 september 2018, som inledde en Guardium-varning till Accenture, till vilken ledningen av Starwoods mötesdatabas outsourcades, vilket informerade Marriott.

ICO bedömde att mellan 25 maj 2018, när GDPR trädde i kraft, och 17 september 2018, när Marriotts utredning erkände och hindrade råttan, hade hotellkedjan inte följt artiklarna 5.1 f och 32 i GDPR genom att inte behandla personlig information på ett sätt som garanterar lämplig säkerhet.

En Marriott-representant sa: “Marriott betyder inte att överklaga valet, men gör inget inträde ansvar i samband med beslutet eller de underliggande anklagelserna. Som ICO erkänner samarbetade Marriott helt under hela utredningen.

” Marriott är djupt ledsen för händelsen. Marriott förblir engagerad i integriteten och säkerheten för sina besökares detaljer och fortsätter att göra betydande investeringar i säkerhetssteg för sina system, som ICO identifierar. ICO identifierar också de steg som Marriott vidtagit efter upptäckten om händelsen att utan dröjsmål meddela och säkra besökarnas intressen.

“Marriott vill försäkra gästerna att evenemanget och ICO: s beslut bara inkluderade Starwoods olika nätverk, som inte längre används.”

Mishcon de Reya partner Adam Rose sa att ICOs senaste val verkade sätta ett “överdrivet” tryck på köparen av ett företag. “Med alla sin due diligence- och servicegarantisäkerhet avslöjade Marriott inte datan ett brott, inte minst på grund av att Starwood inte förstod det. Denna typ av beslut gör lite för att skydda individer eller för att hjälpa effektiva organisationer att växa genom förvärv: Marriott gjorde allt som det kunde rättvist när de gjorde förvärvet, men har nu att göra med en stor, om än minskad, bra, “sade han.

Ann Bevitt, partner på advokatbyrå Cooley , kommenterade : “Som med kandidatexamen böter, detta var lång tid framåt – ICO föreslog att man tänkte göra stora Marriott ₤ 99 m i juli 2019 – och den sista böten är väsentligt mindre än den som ursprungligen föreslogs.

“Huruvida ett andra betydligt reducerat böter kommer att bjudas in som ett annat exempel på” pandemisk pragmatism “och uppmuntra organisationer att vara mindre robusta med att följa GDPR är att se.”

Judy Krieg, partner på Fieldfisher , tillade: “Det hamnar vara generöst tydlig att de förväntade GDPR-mega-böterna för cyberöverträdelser (minst för cyberintrång) inte gäller fullgörande. Som sagt har Marriott, precis som British Airways, faktiskt känt betydande effekter av Covid-19 och siffran har inte kommit ur luften, så vi kan bara spekulera i vad som beaktades i ICO: s uppskattningar. “

Innehållet fortsätter nedan

Läs mer om dataöverträdelseshantering och återställning

Läs mer