בריטניה: קנס חסר תקדים בגלל מתקפת סייבר וגניבת מידע אישי

רגולטור הפרטיות הבריטי (ICO) השית קנס תקדימי בסך 400,000 פאונד על קמעונאית הסלולר הבריטית Carphone Warehouse, בשל מתקפת סייבר וליקויי אבטחה. במסגרת המתקפה, שארעה בחודש יולי 2015, דלף מידע אישי אודות 3,348,869 לקוחות החברה ו-1,000 עובדיה. הרגולטור הבריטי מצא כי החברה הפרה את חוק הגנת הפרטיות הבריטי, המורה שעל בעל השליטה במידע (data controller, המקבילה האירופאית לבעל מאגר מידע בחוק הישראלי) להטמיע אמצעי אבטחה טכנולוגיים וארגוניים למניעת גישה בלתי מורשית למידע אישי.

עוד קבע הרגולטור כי מתקפת הסייבר נגרמה בעקבות כך שהחברה לא טיפלה בחולשות וחשיפות האבטחה הרבות במערכות החברה, על אף שהיא יכולה היתה לדעת שקיים סיכון ניכר למידע האישי של לקוחותיה. הרגולטור מצא כי החברה נכשלה בביצוע כל אלה - 

  1. עדכון לרכיבי תוכנה קריטיים מאז שנת 2009;
  2. אכיפה של מדיניות החברה בנושא עדכוני תוכנה;
  3. בקרות על כניסת משתמשים למערכות המכילות מידע אישי;
  4. מבדקי חדירה וסקרי סיכונים;
  5. הטמעה של חומת-אש ליישומים (Web Application Firewall);
  6. התקנה של תוכנות אנטי-וירוס על שרתי החברה;
  7. אכיפת מדיניות סיסמאות שתמנע שימוש בסיסמת מנהל (אדמין) על-ידי מספר רב של עובדים;
  8. מחיקה של מידע שאין לחברה צורך בו; 
  9. הצפנה של מפתחות הצפנה שנשמרו באופן גלוי בקוד המקור של מערכות החברה

הרגולטור אף ציין כי אי ביצוע כל אחת מהפעולות לעיל מהווה לבדה הפרה של חוק הגנת הפרטיות הבריטי. בהודעה לעיתונות על המקרה התייחס ה-ICO לכניסתן לתוקף של תקנות הגנת הפרטיות (GDPR), והעיר כי העקרון של "Privacy by Design" חייב להימצא בכל תהליך של עיבוד מידע אישי, החל מתכנון החומרה, התוכנה ועד לנהלים, הנחיות, תקנים ומדיניות שעל כל חברה לאמץ. מקור: הודעת האכיפה מאת הרגולטור לפרטיות הבריטי