GDPR’nin yürürlüğe girmesinden bu yana, bir veri ihlalinden etkilenen şirketler, bir para cezasıyla bunu Commission Nationale Informatique et Libertés’e (CNIL) bildirmekle yükümlüdür. Şirketleri veri sızıntıları ve kendilerini etkileyen bilgisayar saldırıları konusunda daha şeffaf olmaya motive eden bir yaptırım riski. Yıllık faaliyet raporundaCNIL, 2021’de bir önceki yıla göre %79 artışla 5.037 kişisel veri ihlali bildirimi aldığını açıklıyor.
Bu bildirimler esas olarak küçük işletmelerden gelmektedir: KOBİ’ler raporların %43’ünü, mikro işletmeler ise %26’sını temsil etmektedir. Cnil, küçük işletmelerin bu aşırı temsilinin hem siber güvenlik açısından olgunlaşmamış olmaları hem de bildirimlerin yaşadığı “dalga” etkisi ile açıklandığını düşünüyor: Bir taşeron bir saldırı bilgisayarından etkilendiğinde, çeşitli müşterilerini bilgilendirmelidir. , bu da onları bir veri ihlali konusunda CNIL’i de bilgilendirmeye yönlendirir. Rapor, bu olgunun bir sonucu olarak Komisyonun tek bir günde 300’den fazla bildirim alabildiğini gösteriyor.
CNIL, kendisine bildirilen ihlallerin niteliğini kendi sınıflandırmasına göre belirtir. Bildirimlerin ezici çoğunluğu (4017 bildirim) veri gizliliği kaybıyla ilgilidir; bu, özel verilerin saldırganlar tarafından ifşa edilmesi veya çalınması anlamına gelir. CNIL, diğer iki senaryo olan kullanılabilirlik kaybı ve bütünlük kaybının 2021’de iki katına çıktığını belirtiyor. Birçok bildirim, gizlilik kaybını ve kullanılabilirlik veya bütünlük kaybını birleştirir.
Bu bildirim rakamlarının kaynağında, CNIL, 2021 yılına damgasını vuran ve birçok Fransız kuruluşunu etkileyen fidye yazılımı saldırılarının artan öneminin altını çiziyor. Komisyonun raporuna göre, “CNIL böylece 2.150’den fazla bildirim aldı veya yalnızca bu tür saldırılar için bildirimlerin %43’ünü aldı”. Harici kötü niyetli eylemler, vakaların %59’unda veri ihlali vakalarının çoğunluğunu oluşturmaktadır. Cnil, bilgisayar korsanlığından kaynaklanan yaklaşık 3.000 bildirim aldı ve bu, 2020’ye kıyasla % 128 artış gösterdi.
2021’de CNIL’in toplam 21,8 milyon avroluk işletme bütçesi için 245 çalışanı vardı. CNIL, veri sızıntılarının raporlanmasındaki rolüne ek olarak, veri koruma konusunda yürürlükte olan mevzuata uyumun kontrol ve yaptırım görevini de yürütmektedir: Komisyon bu şekilde 2021’de 384 kontrol gerçekleştirmiş ve bu da 135 resmi bildirimle sonuçlanmıştır (karşılaştırıldığında 2020’de 49’a kadar) ve toplam 214 milyon euro para cezası için 18 yaptırım. CNIL, “Bu 18 yaptırımın yarısı kişisel verilerin güvenliğiyle ilgili bir ihlali içeriyor” diye yazıyor.
