فرض مكتب مفوض المعلومات البريطاني (ICO) غرامة مالية قدرها 18.4 مليون جنيه إسترليني (23.8 مليون دولار) على شركة ماريوت (Marriott) بسبب خرق البيانات لعام 2014، مما خفض العقوبة المقررة سابقًا بسبب اضطراب فيروس كورونا.
وتعرضت مجموعة فنادق ماريوت لخرق بيانات عام 2014 أثر على سلسلة منتجعات ستاروود (Starwood)، التي استحوذت عليها ماريوت في عام 2015.
وكان المهاجمون في ذلك الوقت قادرين على التسلل إلى أنظمة منتجعات ستاروود (Starwood) وتنفيذ البرامج الضارة، ومن ضمنها أدوات الوصول عن بُعد وبرامج تجميع البيانات.
وتمكن المهاجمون بعد ذلك من الوصول إلى قواعد البيانات المستخدمة لتخزين بيانات حجز الضيوف، ومن ضمنها الأسماء وعناوين البريد الإلكتروني وأرقام الهواتف وأرقام جوازات السفر وتفاصيل السفر ومعلومات برنامج الولاء.
واستمرت الاختراق حتى عام 2018 ، وسُرقت على مدار أربع سنوات معلومات تخص نحو 339 مليون ضيف، وتم الكشف عن سبعة ملايين سجل يتعلق بضيوف المملكة المتحدة.
ويقول مكتب مفوض المعلومات البريطاني (ICO): إن الشركة فشلت في تلبية معايير الأمان التي تتطلبها اللائحة العامة لحماية البيانات (GDPR) بسبب الإخفاق في وضع التدابير التقنية أو التنظيمية المناسبة عند معالجة البيانات، وخالفت الشركة متطلبات حماية البيانات المطبقة الآن من خلال اللائحة العامة لحماية البيانات (GDPR) لعام 2018.
وأقر مكتب مفوض المعلومات البريطاني (ICO) بأن ماريوت تصرفت بسرعة واتصلت بالعملاء وبمكتب مفوض المعلومات البريطاني (ICO) بمجرد الكشف عن حادثة الأمن السيبراني، وتصرفت بسرعة للتخفيف من مخاطر الضرر الذي يعاني منه العملاء.
واضطرت سلسلة الفنادق إلى إلغاء آلاف الوظائف حيث تم إلغاء خطط السفر ورحلات العمل والعطلات بسبب جائحة فيروس كورونا.
وبعد تسجيل أول خسارة ربع سنوية لها في ما يقرب من عقد من الزمان، قالت الشركة: إنها تتوقع خسارة 85 مليون دولار شهريًا في عام 2020.
وخفض مكتب مفوض المعلومات البريطاني (ICO) الغرامة المقترحة في شهر يوليو 2019 – التي تزيد عن 99 مليون جنيه إسترليني (123 مليون دولار) – بشكل كبير بسبب التحسينات الأمنية والأضرار الاقتصادية الناجمة عن فيروس كورونا.
وعلقت إليزابيث دينهام (Elizabeth Denham)، مفوضة المعلومات في المملكة المتحدة، قائلة: لقد تأثرت بيانات الملايين من الأشخاص بفشل ماريوت، واضطر الأشخاص إلى اتخاذ إجراءات لحماية بياناتهم الشخصية لأن الشركة التي وثقوا بها لم تفعل ذلك.
وأضافت: عندما تفشل شركة ما في العناية ببيانات العملاء، فإن التأثير ليس مجرد غرامة محتملة، والأهم من ذلك هو الجمهور الذي من واجبهم حماية بياناتهم.