În data de 8 ianuarie 2017, Autoritatea de Supraveghere din UK (ICO) a amendat cu 400 000 de lire sterline compania de telecomunicații The Car Phone Warehouse Limited pentru un incident de securitate (atac cibernetic) din anul 2015. ICO a constatat că societatea nu a reușit să ia măsurile adecvate pentru a proteja datele personale pe care le deținea în sistemul său.
Între iulie și august 2015, sistemul de găzduire al companiei, care includea datele personale a peste 3.348.000 de clienți și 1000 angajați (inclusiv datele cardurilor bancare), a fost supus unui atac cibernetic extern.
ICO a constatat că atacul a fost posibil datorită deficiențelor de securitate ale companiei, care includeau:
- software-ul sistemului nu a fost actualizat de câțiva ani;
- nu au fost luate măsuri pentru a verifica dacă actualizările software au fost implementate în conformitate cu politica companiei;
- compania nu a dispus de măsuri pentru a controla credentialele de acces;
- nu au fost luate măsuri adecvate de scanare a vulnerabilității și de testare a penetrării;
- compania nu avea nici o aplicație firewall pentru monitorizarea traficului către și din aplicațiile sale web, contrar standardelor de securitate acceptate;
- serverele sistemului nu aveau tehnologii antivirus, ceea ce contravine politicii companiei și standardelor de securitate acceptate;
- sistemul de operare de pe servere avea aceeași parolă partajată de mai mult de 30 de angajați;
- datele cu caracter personal au fost colectate fără motive întemeiate și au fost luate măsuri inadecvate pentru securizarea acestora; și
- parolele de criptare nu au fost stocate în siguranță.
ICO a concluzionat că aceste fapte au reprezentat o încălcare multilaterală a principiului 7 privind protecția datelor, inclus în Legea privind protecția datelor din 1998, care prevede că trebuie luate măsuri tehnice și organizatorice adecvate împotriva prelucrării neautorizate sau ilegale a datelor cu caracter personal și împotriva pierderii accidentale, distrugerii sau deteriorării datelor personale.
ICO, în anunțul public al deciziei, a subliniat importanța principiului „Privacy by design” inclus în GDPR, care impune companiilor să se asigure că există măsuri puternice de guvernanță IT și de securitate a informațiilor pentru a se conforma prevederilor din Regulament
Sursa
UK ICO Issues Unprecedented Fine Against Mobile Phone Retailer for Lax Security