Co się dzieje, gdy firma staje się ofiarą ataku gigantycznego hakerskiego? Można by sobie wyobrazić, że natychmiast uruchamiane są odpowiednie służby, a zaatakowana firma może liczyć na pomoc od państwa.

Cóż, w Polsce nie zawsze tak jest.

W grudniu 2018 r. na przykład znana platforma zakupowa Morele.net stała się ofiarą ataku hakerskiego. Była to bardzo poważna sprawa, wyciekły bowiem nie tylko podstawowe dane, jak imiona i nazwiska klientów czy ich numery telefoniczne. W przypadku ok. 35 tys. osób wyciekły też dane z wniosków ratalnych, a to oznacza, że cyberprzestępcy zyskali dostęp do numerów PESEL czy nawet danych o zarobkach i wykształceniu.

Trudno więc sprawę bagatelizować. Jednak kara nałożona na firmę Morele.net naprawdę szokuje.

Prezes UODO stwierdził, że spółka miała niewystarczające zabezpieczenia organizacyjne oraz techniczne. I kara jest naprawdę surowa - 2,8 mln zł. Przypomnijmy, poprzednia najwyższa kara "za RODO" nie przekroczyła 1 mln zł.

Co UODO zarzuca serwisowi?  Uważa, że platforma powinna mieć na przykład podwójne uwierzytelnianie.

UODO to nie sąd, a tak się zachowuje

Gdyby to sąd uznał, że firma nie miała w grudniu wystarczających zabezpieczeń, to tego felietonu by pewnie nie było. Tyle że przecież w RODO nie chodziło o ostrzejsze karanie firm za nieodpowiednie zabezpieczenia.

RODO miało przede wszystkim uświadomić firmy i konsumentów co do tego, jak gigantyczną wartość mają dziś nasze dane. RODO miało zatamować zapędy amerykańskich megakorporacji, które wykorzystują nasze dane bez opamiętania. RODO miało też sprawić, że w końcu nie będą do nas dzwonili namolni telemarketerzy, wciskający nam garnki czy odkurzacze.

Cóż, po ponad roku amerykańskie korporacje wykorzystują nasze dane, jak wykorzystywały, a telemarketerzy jak dzwonili, tak dzwonią.

Za to firmy są karane za... ataki przestępców. Cóż, zupełnie nie o to chyba chodziło.

Nie sugeruję wcale, że platforma Morele.net nie zasługuje na karę. Może tak dokładnie jest, być może rzeczywiście tak duży sklep internetowy powinien bardziej dbać o dane swoich użytkowników. Ale uważam też, że to po prostu nie jest kwestia RODO. Uważam też, że kara dla firmy może być bardzo, ale to bardzo niebezpiecznym precedensem.

Bo w końcu cyberataki są coraz częstsze, a wycieki danych ze znanych serwisów stały się już standardem. Każdy taki atak to dla firmy cios - i biznesowy, i wizerunkowy. Czy teraz firmy powinny się liczyć z tym, że za tymi ciosami pójdzie wielomilionowa kara od UODO?

Wolelibyśmy jednak liczyć, że państwo wesprze zaatakowane w ten sposób firmy, a nie że wbije im nóż w plecy.