Grzywna w wysokości 4,9 mln dolarów za brak zapobiegania cyberatakom! Jak można było tego uniknąć?
Brytyjski organ nadzorujący przestrzeganie danych osobowych ukarał grupę budowlaną „Interserve” grzywną w wysokości 4,9 mln dolarów po cyberataku, który umożliwił hakerom kradzież danych osobowych i finansowych nawet 113 000 pracowników.
Początkowy atak miał miejsce dwa lata temu: pracownik przekazał wiadomość phishingową koledze, który następnie pobrał ją i niechcący zainstalował złośliwe oprogramowanie na stacji roboczej firmy.
„Interserve” jest oskarżony o to, że nie wprowadził odpowiednich mechanizmów obronnych w celu zabezpieczenia danych swoich pracowników. E-mail nie został ani zablokowany, ani poddany kwarantannie przez system firmy, a gdy złośliwe oprogramowanie zostało wychwycone przez wbudowany program antywirusowy, „Interserve” nie zbadał dalej sprawy.
W rezultacie cyberprzestępca zhakował 283 systemy i 16 kont, odinstalował firmowe rozwiązanie antywirusowe i zaszyfrował informacje nawet 113 tys. pracowników (dane kont bankowych, numery ubezpieczenia społecznego, pochodzenie etniczne, orientacja seksualna i religia były wśród naruszonych danych osobowych).
„Interserve” naruszył prawo ochrony danych poprzez brak odpowiedniego szkolenia pracowników, brak wprowadzenia zabezpieczeń technicznych oraz stosowanie przestarzałych systemów oprogramowania i protokołów.
Potrzebujesz szkolenia dla swojej firmy? Chcesz podnieść poziom bezpieczeństwa wewnątrz swojej organizacji?
Mamy kompletne rozwiązanie, które nauczy twoich pracowników jak uchronić się przed cyberatakiem— Company Un(Hacked).
„Działania, które skutkują obniżeniem poziomu cyberbezpieczeństwa wewnątrz organizacji nigdy nie są akceptowalne, zwłaszcza gdy mamy do czynienia z zabezpieczeniem najbardziej wrażliwych danych osobowych. To naruszenie danych mogło wyrządzić prawdziwą szkodę pracownikom „Interserve”, ponieważ pozostawiło ich bezbronnymi wobec możliwości kradzieży tożsamości i oszustw finansowych” – powiedział John Edwards, brytyjski komisarz ds. informacji.
Chcesz sprawdzić świadomość pracowników odnośnie zagrożeń związanych z atakiem phishingowym?
Narzędzie Phish Threat od firmy Sophos daje możliwość przeprowadzenia kampanii phishingowych wewnątrz firmy w celu wyostrzenia czujności pracowników na zagrożenia czyhające w sieci.