Autoritatea de Supraveghere din UK a constatat ca o companie de telecomunicatii nu a reusit sa ia masurile necesare astfel incat sa protejeze datele personale pe care le detinea in sistem. Drept urmare, firma a primit o amenda de 400.000 de lire pentru un incident de securitate care s-a petrecut in anul 2015.
A fost descoperit faptul ca, intre lunile iulie si august 2015, sistemul de gazduire al companiei, care includea datele personale a peste 3.348.000 de clienti si 1000 angajati (inclusiv datele cardurilor bancare), a fost supus unui atac cibernetic extern.
Potrivit site-ului e-juridic.manager.ro, ICO a constatat ca atacul a fost posibil din cauza urmatoarelor probleme de securitate cu care se confrunta compania din UK.
• software-ul sistemului nu a fost actualizat de cativa ani;
• nu au fost luate masuri pentru a verifica daca actualizarile software au fost implementate in conformitate cu politica companiei;
• compania nu a dispus de masuri pentru a controla credentialele de acces;
• nu au fost luate masuri adecvate de scanare a vulnerabilitatii si de testare a penetrarii;
• compania nu avea nicio aplicatie firewall pentru monitorizarea traficului catre si din aplicatiile sale web, contrar standardelor de securitate acceptate;
• serverele sistemului nu aveau tehnologii antivirus, ceea ce contravine politicii companiei si standardelor de securitate acceptate;
Ghidul Practic al Monografiilor Contabile 2024
Declaratia Unica 2024 Impozit pe venit Contributii CAS si CASS
Contabilitatea HORECA Monografii contabile si cazuri practice
• sistemul de operare de pe servere avea aceeasi parola partajata de mai mult de 30 de angajati;
• datele cu caracter personal au fost colectate fara motive intemeiate si au fost luate masuri inadecvate pentru securizarea acestora;
• parolele de criptare nu au fost stocate in siguranta.
Principiul „Privacy by design”, inclus in Regulamentul GDPR, impune companiilor sa se asigure ca exista unor masuri de guvernanta IT si de securitate a informatiilor pentru a se conforma prevederilor.
