Information Commissioner’s Office (ICO) har dömt mobiltelefonåterförsäljaren Carphone Warehouse med böter på 400 000 pund för att ha misslyckats med att tillräckligt skydda kunddata, vilket resulterade i ett dataintrång 2015.
Enligt dataskyddstillsynsmyndigheten misslyckades företaget med att implementera tillräcklig infrastruktur, följa korrekta procedurer och följa de skydd som beskrivs i dataskyddslagen, för att undvika en katastrofal förlust av data.
Cyberskurkar kunde ta sig in i företagets system och komma åt personuppgifter från miljontals kunder i en attack som beskrevs som ”sofistikerad” vid den tiden.
Attacken påverkade mer än tre miljoner kunder och 1 000 anställda, där angriparna fick tillgång till information som namn, födelsedatum, adresser och bankuppgifter.
Carphone warehouse var ansvarigt för en rad ”systemfel” som ledde till dataangreppen, sa ICO, när det slog företaget med de rejäla böterna.
Efter att ICO fick reda på intrånget i Carphone Warehouse inledde den en omfattande utredning för att ta reda på hur attacken hände och företagets fel. Totalt upptäckte den 11 problem.
Teknikföretaget förlitade sig på mjukvara som var inaktuell, och den saknade ”rigorösa kontroller” över vem som kunde komma åt kunddata. Utredarna fann också att företaget förlitade sig på samma root-lösenord för flera servrar.
ICO sa att det fanns ”distinkta och betydande brister i säkerhetsarrangemangen” och sa att företaget misslyckades med att implementera ”grundläggande, vanliga åtgärder”.
Den sa att Carphone Warehouse som en stor ”datakontrollant” borde ha använt system för att följa ”dataskyddsprinciperna”.
En av reglerna gör det tydligt att företag måste ”ta ansvarsfulla åtgärder för att säkerställa tillförlitligheten för eventuella anställda” med tillgång till kunddata.
Och när det gäller infrastruktur måste företag se till att de använder dataskyddshårdvara som ger ”tillräckliga garantier med avseende på teknisk och organisatorisk säkerhet”.
Under 2016 utfärdade ICO samma böter till TalkTalk när en hackare kunde komma åt personliga uppgifter från mer än 150 000 kunder.
LÄS NÄSTA: Vad är GDPR? Allt du behöver veta om din data och hur den används
Informationskommissionär Elizabeth Denham sa: ”Ett företag så stort, välresurser och etablerat som Carphone Warehouse borde aktivt ha utvärderat sina datasäkerhetssystem och se till att systemen var robusta och inte sårbara för sådana attacker.
”Carphone Warehouse borde vara i toppen av sitt spel när det kommer till cybersäkerhet, och det är oroande att de systemfel vi hittade relaterade till rudimentära, vanliga åtgärder.”
Carphone Warehouse svarade också och sa: ”Vi accepterar dagens beslut av ICO och har samarbetat fullt ut under hela sin utredning av den illegala cyberattacken mot ett specifikt system inom en av Carphone Warehouses brittiska divisioner 2015.
”Som ICO noterar i sin rapport, gick vi snabbt för att säkra våra system, införa ytterligare säkerhetsåtgärder och informera ICO och potentiellt berörda kunder och kollegor. ICO noterade att det inte fanns några bevis för att någon individuell data har använts av tredje part.”
Leigh-Anne Galloway, resiliensledare för cybersäkerhet på Positive Technologies, sa att företag måste göra mer för att skydda personuppgifter och att de kan få ännu högre böter när GDPR träder i kraft.
– Böterna är ett viktigt uttalande från informationskommissionären. Det visar hur högt företag bör värdera sin datas renlighet i en tid av massiva intrång, särskilt när det gäller ett stort pålitligt varumärke med en stor kunddatabas, säger Galloway.
”Det är också ett skott över fören för sådana företag inför GDPR. Även om det är en relativt stor rubrik, är det en bråkdel av vad som är möjligt enligt den nya lagstiftningen som träder i kraft den 25 maj.”
ICO har för närvarande ett tak för det maximala bötesbeloppet den kan ta ut, fastställt till Kr500 000. Men hade dataintrånget skett under regelverket för GDPR, kan Carphone Warehouse ha varit dömt till böter på upp till 20 € miljoner, eller 4 % av den globala omsättningen.
2008, Carphone Warehouse fick en varning från ICO över sin hantering av kunddata, efter att företaget öppnat konton med fel namn och skickat felaktiga känsliga uppgifter till kreditinstitut och inkassoföretag.
Bild: Wikimedia Commons