ICO a amendat o companie cu 400.000 lire pentru un incident de securitate

 

În data de 8 ianuarie 2017, Autoritatea de Supraveghere din UK (ICO) a amendat cu 400 000 de lire sterline compania de telecomunicații The Car Phone Warehouse Limited pentru un incident de securitate (atac cibernetic) din anul 2015. ICO a constatat că societatea nu a reușit să ia măsurile adecvate pentru a proteja datele personale pe care le deținea în sistemul său.

Între iulie și august 2015, sistemul de găzduire al companiei, care includea datele personale a peste 3.348.000 de clienți și 1000 angajați (inclusiv datele cardurilor bancare), a fost supus unui atac cibernetic extern.

ICO a constatat că atacul a fost posibil datorită deficiențelor de securitate ale companiei, care includeau:

  • software-ul sistemului nu a fost actualizat de câțiva ani;
  • nu au fost luate măsuri pentru a verifica dacă actualizările software au fost implementate în conformitate cu politica companiei;
  • compania nu a dispus de măsuri pentru a controla credentialele de acces;
  • nu au fost luate măsuri adecvate de scanare a vulnerabilității și de testare a penetrării;
  • compania nu avea nici o aplicație firewall pentru monitorizarea traficului către și din aplicațiile sale web, contrar standardelor de securitate acceptate;
  • serverele sistemului nu aveau tehnologii antivirus, ceea ce contravine politicii companiei și standardelor de securitate acceptate;
  • sistemul de operare de pe servere avea aceeași parolă partajată de mai mult de 30 de angajați;
  • datele cu caracter personal au fost colectate fără motive întemeiate și au fost luate măsuri inadecvate pentru securizarea acestora; și
  • parolele de criptare nu au fost stocate în siguranță.

ICO a concluzionat că aceste fapte au reprezentat o încălcare multilaterală a principiului 7 privind protecția datelor, inclus în Legea privind protecția datelor din 1998, care prevede că trebuie luate măsuri tehnice și organizatorice adecvate împotriva prelucrării neautorizate sau ilegale a datelor cu caracter personal și împotriva pierderii accidentale, distrugerii sau deteriorării datelor personale.

ICO, în anunțul public al deciziei, a subliniat importanța principiului „Privacy by design” inclus în GDPR, care impune companiilor să se asigure că există măsuri puternice de guvernanță IT și de securitate a informațiilor pentru a se conforma prevederilor din Regulament

Sursa

UK ICO Issues Unprecedented Fine Against Mobile Phone Retailer for Lax Security




























Ruxandra Sava

Ruxandra Sava
Ruxandra Sava (CIPP/e, LL.M. in EU Law) is a Romanian lawyer, member of Bucharest Bar. E-mail: ruxandra.sava@legalup.ro.

AFLĂ MAI MULTE!