未採取足夠的資安防護導致資料外洩，英一家中小企業遭罰230萬元

企業遭受資安攻擊時，只是單純的受害人角色嗎？顯然英國政府並不這麼想。英國資訊委員辦公室(ICO)近日決定裁罰一家中小企業公司，因為連基本的資安防護都未做好，導致遭駭客攻擊且用戶資料外洩，必須支付6萬英鎊(約合新台幣234萬元)的罰款。

這間名為Boomerang Video的電玩出租公司，2014年時遭到駭客對其網站發動SQL Injection攻擊，並取走26331名用戶個資，部分用戶並遭遇身分竊取詐騙並上網抱怨，導致事件曝光。

英國資訊委員辦公室執法經理Sally Anne Poole表示，不論規模大小，任何企業都應該採取法律要求的動作保護使用者個資，一間企業如果遭到資安攻擊，並被調查發現根本沒有採行資安防護動作，都會面臨遭罰款的命運。她並強調，在英國明年執行新的通用資料保護法後，罰金還將大幅提高。

根據資訊委員辦公室的調查，Boomerang Video公司並未對其網站進行滲透測試，導致其未發現網站本身的諸多弱點或錯誤。此外，該公司也未針對使用者密碼的複雜度進行要求。該公司的資料儲存也未完全加密，或就算有加密，也沒有妥善保管解密金鑰，對於使用者的信用卡資料，也在網頁伺服器上保留超過所需的時間，綜合諸多原因，都顯示該公司根本並未採行基本的資安措施，才導致輕易遭攻擊並導致使用者資料外洩，因而決定開罰。

為了協助資源較少的中小企業建立妥善的資安防護流程，該辦公室出版了一系列參考資料與指導原則，協助中小企業為在規定更嚴格的新法上路前，提早進行內部檢視與準備。