Om någon ville påminna om den närmaste trenden med GDPR och konsekvenserna för företagen skulle den £ 400-böter som delas ut till Carphone Warehouse tidigare i veckan ha varit lite av ett väckarklocka.

Medan böterna inte ingick i något GDPR-arrangemang - det träder inte i kraft till maj - storleken på det var lite av en ögonöppnare. “Det är storleken på böterna, det var lite oväntat,” säger Lewis Henderson från säkerhetsföretaget Glasswall och påpekar att de tre miljoner kundkontonna översteg 157 000 kundrekord i Talk Talk-överträdelsen: en incident som också berättigade 400 000 kr “Du undrar vad ett företag måste göra för att drabbas av det maximala,” Henderson mused.

Storleken på bötesbeloppet är betydande eftersom i maj kan den nu svimlande beloppet väl dvärgas med de straff som utdelats för att bryta mot GDPR. Så medan £ 400.000 är, som Henderson påpekar, under det maximala, är det tillräckligt stort för att fungera som ett varningsskott.

Tele- och mobiloperatörer kommer genom sina stora kundbaser att vara frestande mål för cyberkriminella och med tanke på storleken på deras omsättning kommer de också att vara frestande mål för informationskommissionärer som vill visa ett exempel på skrämmande dataskyddspraxis.

Det är rättvist att säga att det inte kommer att bli tunga böter utdelade under de första veckorna att GDPR är i drift men det är nästan oundvikligt att ett företag kommer att hamras inom ett år. Det verkar vara en tro som rör sig runt branschen att storleken på böterna (vid 4% av den globala omsättningen) bara är så mycket prat. Men med tanke på den slarviga övningen att alltför många företag hänger sig i, kan vi förvänta oss att vi ser minst ett olyckligt företag som drabbats av en stor straff, häll uppmuntrande les autres.

Henderson sa att världen har gått på sedan GDPR hade kommit närmare. “Jag gjorde en snabbberäkning och beräknade att om ICO böter Carphone Warehouse det maximala det kunde enligt GDPR riktlinjer skulle det ha blivit träffat med en £ 190m böter.”

Och det är insikten att böter kan vara så stora som kommer att koncentrera operatörernas sinnen och se till att deras system är så robusta som möjligt. Men, som Henderson sa, tre år efter Talk Talk-dataöverträdelsen, slås företagen fortfarande ihjäl - bara i november rapporterades att tre led ett eget personbrott.

Men attacken har förändrats, säger Henderson. “För tre år sedan knackade angripare på dörren på webbplatser, säger jag att 60% av attackerna idag använder filhänvisningar - de är det största hotet.”

Det faktum att brottslingar fortfarande hotar kundrekord - oavsett angreppsmetoderna är skrämmande - men en av de största motvågorna mot detta brukade vara skadelidande, men det ser inte ut som så är fallet längre.”

“Människor är desensibiliserade,” sade Henderson. “När Talk Talk träffades 2015 gick aktiekursen så att det tog månader att återhämta situationen.” Det är en kontrast till vad som hände i veckan, sa han och påpekade att när Carphone Warehouse blev drabbat, gick aktiekursen kortare ... med en hel procentenhet. Och med tanke på att nyheterna om böterna offentliggjordes samma dag som koncernens ekonomichef lämnade, kan straffet inte ha varit den enda anledningen till att fallet i aktiekursen.

Det verkar vara acceptans nu när kundrekord kommer att hackas och, medan pinsamt, är det inte så mycket. Tio år sedan kan det orsaka enorma skador på företagets rykte: dessa dagar orsakar sådana nyheter bara en rippel i aktiekursen.

Det är just denna typ av tro att GDPR har utformats för att förändras.

Så, hur förberedda är operatörer för GDPRs nya verklighet? Enligt en Clearswift-undersökning från september i september är organisationer inte fullt ut beredda på förändringar i lagstiftningen. Forskningen visade att endast cirka en fjärdedel av europeiska företag är GDPR-redo och medan teknik och telekomföretag är bättre förberedda än de flesta, var endast 32% av denna sektor fullt förlovad.

oförberedd

Det var förstås fyra månader sedan, sedan dess har det skett snabba förändringar, eftersom företag har vaknat upp i realiteten i GDPR. Clearswift-undersökningen visade att 44% av företagen var väl avancerade i sina planer och förväntade sig att de skulle överensstämma med majfristen. En av de faktorer som har drivit den förändringen är att realisera att trots Brexit, förändringarna kommer och Storbritannien kommer ut ur EU kommer inte att ha någon inverkan på antagandet av GDPR.

Men även de företag som formulerar en plan kommer ungefär en tredjedel av alla organisationer inte att vara redo och det kommer att innefatta ett antal telekomföretag (Clearswift-undersökningen gick inte för mycket). Även om det bara är en handfull, det är ett oroande tecken.

De stora pojkarna kommer att vara fullt medvetna om problemen och kommer att ha spenderat månader på att strama upp sina system men förr eller senare kommer det att bli en dataöverträdelse och den här gången kommer någon att bli slagen med stor böter.

Det skulle vara trevligt att tänka på att operatörernas system är tätt säkra, men användningen av attacker som är inriktade på bilagor innebär att det blir svårare att knyta upp sakerna hårt. Som Glasswall's Henderson sa: “Det är gåvan som fortsätter att ge.”

  • Bästa mobila erbjudanden i januari