示意圖,與新聞事件無關。

企業遭受資安攻擊時,只是單純的受害人角色嗎?顯然英國政府並不這麼想。英國資訊委員辦公室(ICO)近日決定裁罰一家中小企業公司,因為連基本的資安防護都未做好,導致遭駭客攻擊且用戶資料外洩,必須支付6萬英鎊(約合新台幣234萬元)的罰款。

這間名為Boomerang Video的電玩出租公司,2014年時遭到駭客對其網站發動SQL Injection攻擊,並取走26331名用戶個資,部分用戶並遭遇身分竊取詐騙並上網抱怨,導致事件曝光。

英國資訊委員辦公室執法經理Sally Anne Poole表示,不論規模大小,任何企業都應該採取法律要求的動作保護使用者個資,一間企業如果遭到資安攻擊,並被調查發現根本沒有採行資安防護動作,都會面臨遭罰款的命運。她並強調,在英國明年執行新的通用資料保護法後,罰金還將大幅提高。

根據資訊委員辦公室的調查,Boomerang Video公司並未對其網站進行滲透測試,導致其未發現網站本身的諸多弱點或錯誤。此外,該公司也未針對使用者密碼的複雜度進行要求。該公司的資料儲存也未完全加密,或就算有加密,也沒有妥善保管解密金鑰,對於使用者的信用卡資料,也在網頁伺服器上保留超過所需的時間,綜合諸多原因,都顯示該公司根本並未採行基本的資安措施,才導致輕易遭攻擊並導致使用者資料外洩,因而決定開罰。

為了協助資源較少的中小企業建立妥善的資安防護流程,該辦公室出版了一系列參考資料與指導原則,協助中小企業為在規定更嚴格的新法上路前,提早進行內部檢視與準備。


Advertisement

更多 iThome相關內容