Kantor Komisaris Informasi (ICO) telah menampar pengecer telepon seluler terkemuka Carphone Gudang dengan denda £400.000 karena gagal melindungi data pelanggan secara memadai, sehingga mengakibatkan pelanggaran data pada tahun 2015.
Menurut regulator perlindungan data, perusahaan gagal menerapkan infrastruktur yang memadai, ikuti dengan benar prosedur, dan mematuhi perlindungan yang diuraikan dalam Undang-Undang Perlindungan Data, untuk menghindari kerugian besar data.
Penjahat dunia maya dapat masuk ke sistem perusahaan dan mengakses data pribadi jutaan pelanggan dalam serangan yang digambarkan sebagai serangan “canggih” pada saat itu.
Serangan tersebut mempengaruhi lebih dari tiga juta nasabah dan 1.000 karyawan, dengan penyerang mengakses informasi seperti nama, tanggal lahir, alamat dan rincian bank.
Lihat terkait
Gudang Carphone bertanggung jawab atas serangkaian “kegagalan sistemis” yang menyebabkan serangan data, kata ICO, ketika perusahaan tersebut dikenakan denda yang besar.
Setelah ICO mengetahui tentang pelanggaran Carphone Warehouse, ICO membuka penyelidikan komprehensif untuk mencari tahu bagaimana serangan itu terjadi dan kesalahan yang dilakukan perusahaan. Secara total, ditemukan 11 masalah.
Perusahaan teknologi tersebut mengandalkan perangkat lunak yang sudah ketinggalan zaman, dan tidak memiliki “kontrol yang ketat” mengenai siapa yang dapat mengakses data pelanggan. Penyelidik juga menemukan bahwa perusahaan tersebut mengandalkan kata sandi root yang sama untuk beberapa server.
ICO mengatakan ada “kekurangan yang jelas dan signifikan dalam pengaturan keamanan” dan mengatakan perusahaan tersebut gagal menerapkan “langkah-langkah dasar dan umum”.
Dikatakan bahwa sebagai “pengendali data” utama, Carphone Warehouse seharusnya menggunakan sistem yang mematuhi “prinsip perlindungan data”.
Salah satu aturannya memperjelas bahwa perusahaan harus “mengambil langkah-langkah yang bertanggung jawab untuk memastikan keandalan setiap karyawan” yang memiliki akses ke data pelanggan.
Terkait dengan infrastruktur, perusahaan harus memastikan bahwa mereka menggunakan perangkat keras perlindungan data yang memberikan “jaminan memadai sehubungan dengan keamanan teknis dan organisasi”.
Pada tahun 2016, ICO mengeluarkan denda yang sama kepada TalkTalk ketika seorang peretas dapat mengakses data pribadi lebih dari 150.000 pelanggan.
BACA BERIKUTNYA: Apa itu GDPR? Segala sesuatu yang perlu Anda ketahui tentang data Anda dan cara penggunaannya
Komisaris Informasi Elizabeth Denham berkata: “Sebuah perusahaan sebesar, memiliki sumber daya yang baik, dan mapan seperti Carphone Warehouse seharusnya secara aktif menilai sistem keamanan datanya, dan memastikan sistemnya kuat dan tidak rentan terhadap hal tersebut serangan.
“Carphone Warehouse seharusnya menjadi yang terdepan dalam hal keamanan siber, dan sangat memprihatinkan bahwa kegagalan sistemik yang kami temukan terkait dengan tindakan yang belum sempurna dan biasa dilakukan.”
Carphone Warehouse juga menanggapi, dengan mengatakan: “Kami menerima keputusan ICO hari ini dan telah bekerja sama sepenuhnya selama ini. penyelidikannya terhadap serangan siber ilegal pada sistem tertentu di salah satu divisi Carphone Warehouse di Inggris pada tahun 2017 2015.
“Seperti yang dicatat oleh ICO dalam laporannya, kami bergerak cepat pada saat itu untuk mengamankan sistem kami, untuk menerapkannya langkah-langkah keamanan tambahan dan untuk menginformasikan ICO serta pelanggan dan kolega yang berpotensi terkena dampak. ICO mencatat bahwa tidak ada bukti data individu telah digunakan oleh pihak ketiga.”
Leigh-Anne Galloway, pimpinan ketahanan keamanan siber di Positive Technologies, mengatakan bahwa perusahaan perlu berbuat lebih banyak untuk melindungi data pribadi dan mereka dapat menghadapi denda yang lebih besar jika GDPR mulai berlaku.
“Denda tersebut merupakan pernyataan penting dari Komisi Informasi. Hal ini menunjukkan betapa perusahaan harus menghargai kesucian data mereka di era pelanggaran besar-besaran, terutama dalam kasus merek besar yang tepercaya dengan basis data pelanggan yang besar,” kata Galloway.
“Ini juga merupakan peluang bagi perusahaan-perusahaan tersebut menjelang GDPR. Meskipun angka tersebut merupakan angka utama yang relatif besar, angka tersebut hanyalah sebagian kecil dari apa yang mungkin dilakukan berdasarkan undang-undang baru yang mulai berlaku pada tanggal 25 Mei.”
ICO saat ini memiliki batasan denda maksimum yang dapat dipungut, yaitu sebesar £500.000. Namun, jika pelanggaran data terjadi berdasarkan kerangka peraturan GDPR, Carphone Warehouse mungkin akan dikenakan denda hingga €20 juta, atau 4% dari omset global.
Pada tahun 2008, Gudang Carphone menerima peringatan dari ICO atas penanganan data pelanggan, setelah perusahaan membuka rekening dengan nama yang salah dan mengirimkan data sensitif yang salah ke lembaga kredit dan penagih utang.
Gambar: Wikimedia Commons
