Văn phòng Ủy viên Thông tin (ICO), cơ quan bảo vệ dữ liệu của Vương quốc Anh, quyết định phạt Marriott chỉ một ngày, sau khi công bố án phạt kỷ lục là 183 triệu bảng đối với British Airways vì lỗi tương tự.

Cả hai khoản phạt trên đều được đưa ra sau khi quy định của EU về bảo vệ dữ liệu chung (GDPR) ra đời vào tháng 5/2018, cho phép cơ quan quản lý các quốc gia thành viên áp dụng mức phạt lên tới 4% doanh thu toàn cầu của doanh nghiệp không bảo đảm công tác bảo mật dữ liệu.

Bất cẩn khi mua lại Starwood

Theo báo cáo từ Marriott, dữ liệu khách hàng bị đánh cắp bởi tin tặc bao gồm tên, địa chỉ nhà, số điện thoại, số hộ chiếu, số đặt phòng, ngày sinh và các thông tin nhận dạng khác. Số thẻ tín dụng được mã hóa cũng bị tấn công.

Ông Arne Sorenson - Giám đốc điều hành Marriott International, cho biết: “Chúng tôi thất vọng với thông báo của ICO và chúng tôi sẽ phản biện. Marriott đã hợp tác với ICO trong suốt quá trình điều tra vụ việc, liên quan đến cuộc tấn công nhằm vào cơ sở dữ liệu đặt phòng của Starwood”.

Về phần mình, ICO cho rằng tin tặc truy cập trái phép vào các hệ thống của Starwood Hotels từ năm 2014, tức 2 năm trước khi tập đoàn này được Marriott mua lại, nhưng việc rò rỉ thông tin khách hàng không được phát hiện cho đến tận năm 2018.

Cuộc điều tra của ICO kết luận Marriott đã không rà soát kỹ lưỡng khi mua lại Starwood và lẽ ra nên có các biện pháp tăng cường an ninh cho hệ thống của mình.

Cơ quan này cũng khẳng định thông báo về ý định xử phạt gần 100 triệu bảng vẫn để ngỏ khả năng cho Marriott và các cơ quan bảo vệ dữ liệu khác của EU (những nước có người dân bị ảnh hưởng) được góp ý, phản biện trong vòng 16 tuần trước khi có quyết định cuối cùng. ICO đã điều tra vụ việc này với tư cách là cơ quan chủ trì giám sát đại diện cho các cơ quan bảo vệ dữ liệu của các nước thành viên EU.

“GDPR quy định rõ rằng các đơn vị, tổ chức phải chịu trách nhiệm về dữ liệu cá nhân mà họ nắm giữ. Điều này bao gồm cả việc thẩm định kỹ lưỡng khi mua lại doanh nghiệp khác, đồng thời có các biện pháp thích hợp để đánh giá xem những dữ liệu cá nhân nào đã được chuyển giao và chúng được bảo vệ ra sao”, ủy viên phụ trách thông tin Elizabeth Denham nói.

Một cách để răn đe

Elizabeth Denham cho biết: “Dữ liệu cá nhân có giá trị thực, chính vì vậy các đơn vị, tổ chức có nghĩa vụ bảo đảm an toàn cho dữ liệu, giống như bất kỳ tài sản nào khác. Nếu họ không làm được như vậy, chúng tôi sẽ lập tức hành động mạnh tay nếu cần thiết để bảo vệ quyền lợi của người dân”.

Theo nhận định của một số công ty luật, nguy cơ bị phạt tiền sẽ buộc các công ty phải cẩn trọng hơn trong quá trình thẩm định tài sản đối với các thương vụ mua bán, sáp nhập.

“Khách hàng của chúng tôi ngày càng quan tâm đến việc tuân thủ quy định bảo mật dữ liệu trong các giao dịch mua lại tài sản và cổ phần, cũng như tham gia bảo hiểm an ninh mạng để giảm thiểu rủi ro xảy ra rò rỉ như vậy”, Gita Shivarattan - chuyên gia bảo mật dữ liệu của công ty luật Ashurst, nói.

Các khoản tiền lớn là dấu hiệu cho thấy cơ quan quản lý không ngần ngại thực thi quyền hạn của mình để ngăn chặn các hành vi bất cẩn trong công tác quản lý dữ liệu cá nhân. Một số vi phạm đáng kể khác hiện đang bị điều tra bao gồm bê bối thông tin 50 triệu tài khoản người dùng Facebook bị rò rỉ vào tháng 9 năm ngoái, hay vụ tấn công hơn 50 triệu người dùng trên mạng xã hội G của Google.

Theo ICO, số tiền phạt được đưa ra dựa trên mức độ nghiêm trọng của sự việc, bao gồm số người bị ảnh hưởng, các loại dữ liệu bị liên đới, chất lượng công tác bảo mật của doanh nghiệp và thái độ hợp tác với ICO cũng như các biện pháp giảm thiểu thiệt hại cho đối tượng bị ảnh hưởng. Đây cũng là một cách để răn đe các doanh nghiệp khác trước khi đi vào vết xe đổ đó.

Hải Châu