Управление комиссара по информации (ICO) ударило крупного продавца мобильных телефонов Carphone Склад оштрафован на 400 000 фунтов стерлингов за неспособность должным образом защитить данные клиентов, что привело к утечке данных в 2015 году.
По данным регулятора по защите данных, фирме не удалось реализовать достаточную инфраструктуру. процедуры и соблюдать меры защиты, изложенные в Законе о защите данных, чтобы избежать катастрофической потери данные.
Киберпреступники смогли проникнуть в системы компании и получить доступ к личным данным миллионов клиентов в ходе атаки, которую в то время называли «изощренной».
Атака затронула более трех миллионов клиентов и 1000 сотрудников, при этом злоумышленники получили доступ к такой информации, как имена, даты рождения, адреса и банковские реквизиты.
См. связанные
Склад Carphone был ответственен за ряд «системных сбоев», которые привели к атаке на данные, заявили в ICO, когда наложили на компанию крупный штраф.
После того, как ICO узнало о взломе Carphone Warehouse, оно начало комплексное расследование, чтобы выяснить, как произошла атака и какие правонарушения совершила компания. Всего было обнаружено 11 проблем.
Технологическая фирма полагалась на устаревшее программное обеспечение и не имела «жесткого контроля» над тем, кто мог получить доступ к данным клиентов. Следователи также обнаружили, что фирма использовала один и тот же пароль root для нескольких серверов.
В ICO заявили, что в мерах безопасности были «явные и существенные недостатки», и заявили, что фирма не смогла реализовать «базовые, банальные меры».
В нем говорилось, что Carphone Warehouse, будучи основным «контролером данных», должна была использовать системы, соответствующие «принципам защиты данных».
В одном из правил четко указано, что компании должны «принимать ответственные меры для обеспечения надежности любых сотрудников», имеющих доступ к данным клиентов.
Что касается инфраструктуры, компании должны убедиться, что они используют оборудование для защиты данных, которое обеспечивает «достаточные гарантии в отношении технической и организационной безопасности».
В 2016 году ICO выписало такой же штраф компании TalkTalk, когда хакер смог получить доступ к личным данным более 150 000 клиентов.
ЧИТАЙТЕ ДАЛЬШЕ: Что такое GDPR? Все, что вам нужно знать о ваших данных и о том, как они используются
Комиссар по информации Элизабет Денэм сказала: «Такая крупная, хорошо обеспеченная ресурсами и авторитетная компания, как Carphone Warehouse, должен был активно оценивать свои системы безопасности данных и обеспечивать надежность и неуязвимость систем к таким атаки.
«Carphone Warehouse должна быть на вершине своей игры, когда дело касается кибербезопасности, и вызывает беспокойство тот факт, что обнаруженные нами системные сбои связаны с элементарными, банальными мерами».
Carphone Warehouse также ответила: «Мы принимаем сегодняшнее решение ICO и полностью сотрудничаем на протяжении всего процесса. расследование незаконной кибератаки на конкретную систему в одном из британских подразделений Carphone Warehouse в 2015.
«Как отмечает ICO в своем отчете, в то время мы быстро действовали, чтобы защитить наши системы, внедрить дополнительные меры безопасности и информировать ICO и потенциально затронутых клиентов и коллег. В ICO отметили, что не было никаких доказательств использования каких-либо отдельных данных третьими лицами».
Ли-Энн Галлоуэй, руководитель отдела кибербезопасности в Positive Technologies, заявила, что компаниям необходимо делать больше для защиты персональных данных и что им могут грозить еще большие штрафы, если GDPR вступает в силу.
«Штраф – важное заявление комиссара по информации. Это показывает, насколько высоко компании должны ценить неприкосновенность своих данных в эпоху массовых взломов, особенно в случае крупного, заслуживающего доверия бренда с большой базой данных клиентов», — сказал Гэллоуэй.
«Это также удар по носу таких компаний в преддверии GDPR. Хотя это относительно большая цифра, это лишь малая часть того, что возможно в соответствии с новым законодательством, которое вступает в силу 25 мая».
В настоящее время ICO имеет ограничение на максимальный размер штрафа, который оно может взимать, и составляет 500 000 фунтов стерлингов. Однако, если бы утечка данных произошла в соответствии с нормативной базой GDPR, Carphone Warehouse могла бы быть привлечена к ответственности за штраф в размере до €20 миллионов, или 4% мирового оборота.
В 2008 году склад автомобилей. получил предупреждение от ICO по поводу обработки данных клиентов после того, как компания открыла счета с неправильными именами и отправила неправильные конфиденциальные данные кредитным агентствам и сборщикам долгов.
Изображение: Викисклад
