Marriott otrzymuje 25 milionów od ubezpieczyciela po wycieku danych
Zeszłoroczna informacja o wycieku danych osobowych w popularnej sieci hoteli Starwood, przejętej w 2016 r. przez Marriott ( https://antyweb.pl/marriott-wtopil-dane-500-mln-klientow-zostaly-wykradzione/ ), odbiła się szerokim echem w świecie branży hotelarskiej. Zgodnie z pierwszymi informacjami z listopada 2018 roku, wykradzione miało zostać około 500 mln rekordów. Szokujący jest fakt, że dostęp do naruszonych danych trwał kilka lat i dotyczył gości hotelowych wynajmujących pokoje od 2014 roku! Dla osób trzecich dostępne były takie informacje jak: imię i nazwisko, adres, data urodzenia, płeć, numer telefonu, e-mail, numer paszportu, zaszyfrowane numery kont bankowych, informacje o przylotach/odlotach i rezerwacjach. Nie podano, czy hakerom udało się złamać dostęp do numerów kont bankowych, które były szyfrowane w systemach hotelu.
W niedawno opublikowanym komunikacie Marriott przyznaje, że ilość danych, które wyciekły jest niższa niż pierwotnie zakładano. Mówi się o około 383 mln rekordów, które mogły trafić w niepowołane ręce. Wciąż jest to gigantyczna liczba, która działa na wyobraźnię i może mieć wpływ na firmę przez wiele najbliższych lat. Jednocześnie przekazano informację, że sprawa dotyczy wyłącznie klientów sieci Starwood.
Opisywana sytuacja odbiła się na wynikach finansowych grupy hotelowej. W sprawozdaniu finansowym za 2018 rok podano, że Marriott uzyskał od ubezpieczyciela 25 milionów dolarów w związku z zaistniałym zdarzeniem. Nie wiadomo, co dokładnie zostało pokryte przez ubezpieczyciela. Dodatkowe koszty, które poniosła firma, miały wynieść 3 mln dolarów (możliwe, że to wartość franszyzy redukcyjnej w polisie CYBER).,
Opisany przykład pokazuje także kolejne oblicze zagrożeń wynikających cyberprzestępczości. Incydent inicjujący szkodę może mieć miejsce w przeszłości, a szkoda trwać nawet kilka lat zanim zostanie ujawniona, a proceder zatrzymany. Firma jest narażona również na utratę reputacji, co w dłuższej perspektywie może być dotkliwsze niż wypłacone odszkodowania.
Nie ulega więc wątpliwości, że ubezpieczenie cybernetyczne odgrywało w tym przypadku niebagatelną rolę. Przypomnijmy, że ubezpieczenie CYBER swoim zakresem może pokryć między innymi koszty:
– utraconego zysku na skutek incydentu,
– informatyków śledczych badających przyczyny wycieku,
– notyfikacji organu nadzoru oraz osób, których dane zostały naruszone,
– obrony prawnej przed wniesionymi roszczeniami oraz odszkodowań,
– kar administracyjnych nałożonych przez organ nadzoru.