TalkTalk оштрафован на рекордные 400 000£ за нарушение защиты данных

Управление Комиссара по информации Соединенного Королевства (ICO) наложил крупнейший в истории защиты частных данных штраф в размере 400 000£  после того как 150 000 пользователей интернет сервиса TalkTalk обнаружили пропажу информации.

Кибератаки на сервис были совершены в 2015 году, клиентами компании являются более 4 миллионов граждан Великобритании.

Комиссар по информации Элизабет Данхем сообщила, что телекоммуникационному провайдеру «не удалось применить самые основные меры кибербезопасности», оставив свою базу данных уязвимой, после неудавшейся атаки на SQL-сервер, в течение последующих трех лет.

В мае 2016 года в TalkTalk сообщили что в результате атаки без интернета остались 100 000 клиентов и потребуется более 40 млн £ для того, чтобы все исправить.

«Взлом — это плохо, но это не является оправданием для компаний, чтобы отказаться от своих обязательств по обеспечению безопасности. TalkTalk должны и могли были сделать больше, чтобы защитить информацию о клиентах. Этого не произошло и мы приняли меры», — сообщила Данхэм, занявшая свой пост в июле этого года.

В Управлении информационного комиссара  также опубликовали детальную информацию о том, как TalkTalk был поражен и ошибках, которые он совершил.

«Информация была взята из основной базы данных клиентов, которая была частью приобретенных в 2009 году у компании Tiscali ресурсов. Данные были доступны для нападения на трех страницах, унаследованных при покупке», — сообщили в ICO.

TalkTalk не удалось не удалось правильно сканировать купленную инфраструктуру на обнаружение возможных угроз. Компания так и не узнала о существовании уязвленных страниц, что привело к взлому базы данных с хранящейся информацией о пользователях.

«Компании не было известно, что установленная версия ПО базы данных устарела и больше не поддерживается поставщиком. Компания заявила, что не зала об ошибках в ПО и потому не исправила их, что помогло злоумышленниках обойти ограничения доступа. Если бы ошибки были вовремя исправлены, взлом был бы невозможен. злоумышленники использовали метод, известный как SQL-инъекция. Несмотря на свой опыт и ресурсы, TalkTalk оказалось крайне легко взломать. Рекордный штраф будет предупреждением другим: кибербезопасность  — это не проблема IT, это вопрос управления предприятием. Компании должны быть прилежными и бдительными. Компании должны это делать, не только потому что обязаны, но и потому что они ответственны перед законом», — добавила комиссар по безопасности.