El organismo de control de datos del Reino Unido impuso al minorista de teléfonos móviles Carphone Warehouse una multa de £ 400,000, apenas por debajo del máximo de £ 500,000 que el regulador puede emitir actualmente, por fallas de seguridad relacionadas con un ataque de 2015 que comprometió los datos personales de unos tres millones de clientes y 1,000 empleados. .
Los datos de clientes comprometidos incluyeron: nombres, direcciones, números de teléfono, fechas de nacimiento, estado civil y, para más de 18,000 clientes, detalles históricos de tarjetas de pago. Mientras que los registros expuestos de algunos empleados de Carphone Warehouse, incluidos el nombre, los números de teléfono, el código postal y los detalles del registro del automóvil.
Al comentar sobre la sanción en un comunicado, la comisionada de información del Reino Unido, Elizabeth Denham, dijo: “Una empresa tan grande, con buenos recursos y establecida como Carphone Warehouse, debería haber estado evaluando activamente sus sistemas de seguridad de datos y garantizar que los sistemas fueran sólidos y no vulnerables. a tales ataques.
“Carphone Warehouse debería estar en la cima de su juego en lo que respecta a la seguridad cibernética, y es preocupante que las fallas sistémicas que encontramos estén relacionadas con medidas rudimentarias y comunes”.
La Oficina del Comisionado de Información (ICO, por sus siglas en inglés) dijo que identificó “múltiples deficiencias” en el enfoque de la empresa para la seguridad de los datos durante su investigación y determinó que la empresa no había tomado las medidas adecuadas para proteger la información personal de las personas.
Los intrusos habían podido usar credenciales de inicio de sesión válidas para acceder al sistema de Carphone Warehouse a través del software de WordPress desactualizado, dijo el ICO.
El incidente también expuso insuficiencias en las medidas técnicas de seguridad de la organización, con elementos importantes del software en uso en los sistemas afectados que estaban desactualizados y la empresa no llevó a cabo pruebas de seguridad de rutina.
También se implementaron medidas inadecuadas para identificar y purgar datos históricos, agregó.
“Siempre habrá intentos de violar los sistemas de las organizaciones y los ataques cibernéticos son cada vez más frecuentes a medida que los adversarios se vuelven más decididos. Pero las empresas y los organismos públicos deben tomar medidas serias para proteger los sistemas y, lo que es más importante, a los clientes y empleados”, dijo Denham.
“La ley dice que es responsabilidad de la empresa proteger la información personal de los clientes y empleados. Los forasteros no deberían acceder a tales sistemas en primer lugar. Tener un sistema de seguridad en capas efectivo ayudará a mitigar cualquier ataque: los sistemas no pueden explotarse si los intrusos no pueden ingresar”.
Un portavoz de Carphone Warehouse proporcionó la siguiente declaración de respuesta sobre la multa:
Aceptamos la decisión de hoy de la ICO y hemos cooperado plenamente a lo largo de su investigación sobre el ciberataque ilegal en un sistema específico dentro de una de las divisiones de Carphone Warehouse en el Reino Unido en 2015.
Como señala el ICO en su informe, actuamos rápidamente en ese momento para proteger nuestros sistemas, implementar medidas de seguridad adicionales e informar al ICO y a los clientes y colegas potencialmente afectados. El ICO señaló que no había evidencia de que terceros hayan utilizado datos individuales.
Desde el ataque de 2015, hemos trabajado mucho con expertos en seguridad cibernética para mejorar y actualizar nuestros sistemas y procesos de seguridad.
Lamentamos mucho cualquier angustia o inconveniente que el incidente pueda haber causado.
En octubre de 2016, la ICO emitió una multa de £ 400 000 al ISP TalkTalk del Reino Unido también por una violación de datos de 2015, aunque en ese caso solo se vieron afectadas alrededor de 157 000 cuentas de clientes.
La multa máxima que los reguladores de protección de datos en la Unión Europea podrán imponer aumentará significativamente en cuestión de meses, a 17 millones de libras esterlinas o el 4 por ciento de la facturación anual de una empresa, a medida que entre en vigor el Reglamento General de Protección de Datos de la UE. en vigor en mayo.
Además de inflar las sanciones máximas por fallas en la protección de datos, el RGPD impone a las empresas que procesan datos de ciudadanos de la UE la obligación de integrarse protección de datos por diseño.
Source link