最新！英国ICO对建筑公司侵犯员工隐私的行为处以440万英镑罚款

最大的网络风险是自满，而不是黑客

英国信息专员警告说，由于忽视了更新软件和培训员工等关键措施，Interserve 公司正使自己受到网络攻击。

这一警告是在信息专员办公室（ICO）向位于伯克希尔的建筑公司Interserve Group Ltd开出440万英镑的罚单时发出的，该公司未能保证其员工的个人信息安全，这违反了数据保护法。

ICO发现，该公司未能采取适当的安全措施来防止网络攻击，使黑客通过钓鱼邮件获取多达11.3万名员工的个人信息。

被泄露的数据包括个人信息，如联系方式、国家保险号码和银行账户信息，以及特殊类型数据，包括民族血统、宗教、任何残疾细节、性取向和健康信息。

英国信息专员约翰-爱德华兹说：

Interserve数据泄露事件的细节

一名Interserve员工将一封没有被Interserve系统隔离或阻止的钓鱼邮件转发给另一名员工，后者打开并下载了邮件内容。这导致了恶意软件被安装到该员工的工作站上。

公司的反病毒软件隔离了该恶意软件并发出警报，但Interserve没有彻底调查该可疑活动。如果他们这样做了，Interserve会发现攻击者仍然可以访问该公司的系统。

攻击者随后入侵了283个系统和16个账户，并卸载了该公司的防病毒解决方案。多达11.3万名现任和前任员工的个人数据被加密，无法使用。

ICO的调查发现，Interserve没有跟进最初的可疑活动警报，使用过时的软件系统和协议，并缺乏足够的员工培训和充分的风险评估，这最终使他们容易受到网络攻击。

Interserve违反了数据保护法，没有采取适当的技术和组织措施来防止员工的信息被非法访问。

ICO向Interserve发出了 "警告通知"--这是一份潜在罚款前的法律文件。临时罚款金额定为440万英镑。在仔细考虑了Interserve公司的陈述后，没有减少最终的罚款金额。

组织的网络安全指导

保护企业免受网络攻击可能会让人感觉到技术性的或令人恐惧的。但是，我们看到的大多数组织在这方面的错误是可以预防的。

为了更好地保护人们的数据，组织必须定期监测可疑活动并调查任何初步警告；更新软件并删除过时或未使用的平台；更新政策和安全数据管理系统；提供定期员工培训；以及鼓励安全密码和多因素认证。

在发生网络攻击的情况下，有一个监管要求，即向作为数据监管机构的ICO报告。而国家网络安全中心（NCSC）--作为网络安全的技术权威--提供支持和事件响应，以减轻伤害并学习更广泛的网络安全经验。

今年早些时候，ICO与NCSC合作，提醒各组织在发生网络攻击时不要支付赎金，因为这不会降低个人的风险，也不被认为是保护数据的合理步骤。

以下是英国ICO的勒索软件和数据合规指南

每天两块钱，实时获取全球数据合规风险预警

如需《英国ICO勒索软件和数据合规指南》PDF版，请加入小圈子免费下载！

👇

DPOHUB年度会员，扫码加入!

权益1：一年内畅听DPOHUB数据合规研究院全站几乎所有的录播课、直播课（除了超级会员专享的DPOHUB线上线下沙龙以及CDPO认证专用培训课程），权益期内新增的在线课程同样免费听。

权益2：一年的鹅圈子“数据合规俱乐部”，第一时间获取或下载全球最前沿数据法资讯、案例、报告、论文、指南以及全球数据合规头条、中国数据合规周刊。