近日,受到网络攻击的英国中小企业被信息专员办公室(ICO)罚款六万英镑。
ICO的调查发现,2014年曾有一起黑客攻击事件,是因为Berkshire公司的Boomerang Video没有采取基本措施来阻止网站遭到的攻击。一个身份不明的攻击者使用SQL注入(一个常见的黑客技术)访问26331个客户详细信息,并导致26000人的个人信息被暴露。
ICO希望他们这种执法活动(pdf)能够对其他中小企业起到警示作用,促使他们完善自己的安全政策,增强安全意识。
ICO的执行人Sally Anne Poole表示:“无论公司的规模如何,如果是处理个人信息的业务,那么都适用于数据保护法。如果我们发现一家公司遭受网络攻击,但是他们并没有采取措施依法保护客户的个人信息,那么他们就可能会受到ICO的罚款,新的”一般数据保护法“(GDPR)明年生效,到时候罚款可能会更高。”ICO调查发现,Boomerang Video未能在其网站定期进行渗透测试。此外,该公司未能确保其网站Wordpress部分的帐户密码足够复杂。
Boomerang Video有一些未加密存储的信息,因为它无法保证解密密钥的安全,甚至可以访问加密。最重要的是,加密的持卡人详细信息和CVV代码(信用卡安全代码)保留在网络服务器上超过必要时长。“Boomerang视频似乎忽略了应该采取有力措施来防止这种情况发生。”ICO的Poole总结道。
最后,ICO表示将在2018年5月25日发布有助于企业实施GDPR的指导意见。
京公网安备 11010502049343号