Der Outsourcer Interserve wurde mit einer Geldstrafe von 4,4 Mio. £ belegt, weil er einen Cyberangriff nicht stoppen konnte | Eingreifen

Britischer Datenwächter verurteilt Baukonzern zu Geldstrafe Eingreifen 4,4 Millionen £ nach einem Cyberangriff, der es Hackern ermöglichte, persönliche und finanzielle Informationen von bis zu 113.000 Mitarbeitern zu stehlen.

Der Angriff ereignete sich, als Interserve ein Outsourcing-Geschäft betrieb und als „strategische Ressource für die Regierung mit Kunden einschließlich des Verteidigungsministeriums“ bezeichnet wurde. Bankkontodaten, Sozialversicherungsnummern, ethnische Zugehörigkeit, sexuelle Orientierung und Religion gehörten zu den persönlichen Informationen, die gehackt wurden.

Das Information Commissioner’s Office (ICO) sagte, die Interserve-Gruppe habe gegen Datenschutzgesetze verstoßen, weil das Unternehmen keine geeigneten Maßnahmen ergriffen habe, um den Cyberangriff zu verhindern Vor 2 Jahren passiert.

Das Interserve-System konnte eine vom Mitarbeiter heruntergeladene Phishing-E-Mail nicht stoppen, während die nächste Antivirus-Warnung nicht ordnungsgemäß untersucht wurde. Der Angriff gefährdete 283 Systeme und 16 Konten, deinstallierte das Antivirensystem von Interserve und verschlüsselte alle aktuellen und früheren Mitarbeiterinformationen.

Das ICO sagte, Interserve verwende veraltete Softwaresysteme und Protokolle, verfüge über einen Mangel an angemessener Mitarbeiterschulung und unzureichende Risikobewertungen.

„Diese Datenschutzverletzung hatte das Potenzial, den Mitarbeitern von Interserve echten Schaden zuzufügen, da sie der Gefahr von Identitätsdiebstahl und Finanzbetrug ausgesetzt waren“, sagte John Edwards, der Datenschutzbeauftragte des Vereinigten Königreichs.

„Cyberangreifern die Tür offen zu lassen, ist völlig inakzeptabel, insbesondere wenn es um die sensibelsten Informationen von Menschen geht. Die größten Internetrisiken, denen Unternehmen ausgesetzt sind, gehen nicht von Hackern außerhalb des Unternehmens aus, sondern von Selbstgefälligkeit innerhalb des Unternehmens.“

Ein ICO kann eine maximale Geldstrafe von 17,5 Millionen £ oder 4 % des weltweiten Jahresumsatzes verhängen, je nachdem, welcher Betrag höher ist. Sie können die Höhe der Geldbuße reduzieren, wenn das Unternehmen mildernde Argumente vorbringen kann.

Das ICO sagte, dass es nach „sorgfältiger Prüfung“ der Erklärungen von Interserve entschieden habe, die Höhe der Geldbuße, die die vierthöchste, die jemals verhängt wurde, nicht zu senken.

Edwards kommentierte die Höhe der Geldstrafe wie folgt: „Die Absicht ist, Manager und Chefs dazu zu bringen, sich zusammenzusetzen und den CEOs Fragen zur Cyber-Bereitschaft zu stellen.“

Edwards, der seine fünfjährige Amtszeit als Kommissar im Januar antrat, sagte, das ICO habe etwa 80 aktive Untersuchungen und eröffne jährlich etwa 500 Untersuchungen.

Er sagte, dass Ransomware-Angriffe, bei denen Hacker Daten an ein Unternehmen zurückgeben, wenn diese bezahlt werden, die häufigste Art von Cyber-Angriffen sind, mit denen ein ICO zu tun hat. Er warnte davor, dass die Zahlung des Lösegelds die Höhe der Geldbuße nicht verringern würde, da dies „nicht als angemessener Schritt zum Schutz der Daten angesehen“ wurde, und fügte hinzu: „Wir werden nicht zugeben, dass die Zahlung eines Lösegelds für die Wiederherstellung von Daten ein mildernder Umstand ist.“

Letzten Monat hat der Watchdog TikTok eine „Notice of Intent“ ausgestellt, ein Auftakt zu einer möglichen Geldstrafe, die Könnte bis zu 27 Millionen Pfund betragen für das Versäumnis, die Privatsphäre von Kindern zwischen 2018 und 2020 zu schützen.

Im Januar sind das ICO und das National Cyber ​​​​Security Center (NCSC), dem es angehört GCHQforderte britische Unternehmen dazu auf Erhöhen Sie ihre digitale Sicherheit Mit dem Herannahen der russischen Invasion in der Ukraine.