Det är inte intrången utan hur de hanteras som skapar rubriker

Hösten 2016 stals 57 miljoner personuppgifter om kunder och förare från Uber. Angriparna tycks ha kommit åt informationen via Github där Uber förvarat information som i sin tur gjort miljontals personuppgifter tillgängliga.

Företaget valde att inte rapportera intrånget utan i stället betala angriparna för tystnad och för att informationen skulle raderas.

– Omfattningen av det här intrånget är oerhört stor. Men precis som vid ett antal andra tillfällen är det inte intrånget i sig utan företagens sätt att hantera situationen som skapar de största rubrikerna. I dag kan alla organisationer utsättas för intrång. Det är inte en fråga om det sker utan när. Att betala lösen, försöka mörka och inte rapportera intrång är samtidigt helt oacceptabelt, säger Ross Brewer, vice vd och ansvarig för EMEA på datasäkerhetsföretaget LogRhythm.

– När EU:s nya datadirektiv GDPR införs kommer det att bli en väckarklocka för Uber och andra företag som drabbas av dataintrång. Att hantera intrång på det viset som Uber och flera andra gjort accepteras inte – i stället blir det väldigt kostsamt, både i pengar och anseende. När företag drabbas kommer de att behöva agera öppet och ärligt. Med GDPR behöver de i detalj redogöra för intrånget inom 72 timmar, samtidigt som de måste göra sitt yttersta för att begränsa skadorna. Det här innebär också att företag måste säkerställa att de har övervakningslösningar som upptäcker intrång i samma stund de sker. På så vis kan de förebygga den typen av skandalrubriker som vi nu sett allt för många av, avslutar Ross Brewer.