Pengawas data Inggris telah menampar bisnis konstruksi Interserve Group dengan potensi denda £ 4,4 juta ($ 4,98 juta) setelah serangan phishing yang berhasil oleh penjahat mengekspos data pribadi hingga 113.000 karyawan.
Kantor Komisaris Informasi mengatakan perusahaan yang berbasis di Berkshire gagal menerapkan kebersihan keamanan yang baik, peringatan yang hilang dan banyak lagi, dan karenanya dianggap telah melanggar undang-undang perlindungan data.
Dalam kasus klasik, salah satu anggota staf Interserve meneruskan email yang berisi kejahatan tersembunyi kepada seorang rekan, yang kemudian membukanya dan mengunduh konten, memungkinkan malware untuk melakukan tugasnya.
Anti-virus yang digunakan mengkarantina malware dan mengirimkan peringatan, tetapi Interserve “gagal menyelidiki aktivitas mencurigakan secara menyeluruh,” dan melakukan hal itu mungkin mengungkapkan bahwa pelaku jahat telah memperoleh akses ke sistem perusahaan.
Penjahat kemudian mengkompromikan 283 sistem dan 16 akun, dan menghapus instalan perangkat lunak AV. “Data pribadi hingga 113.000 karyawan saat ini dan mantan karyawan dienkripsi dan tidak tersedia,” kata ICO dalam sebuah pernyataan.
Penyelidikan selanjutnya oleh regulator data menemukan sejumlah kesalahan yang dibuat oleh Interserve termasuk tidak menanggapi peringatan awal dari aktivitas yang mencurigakan, menggunakan sistem dan protokol perangkat lunak yang sudah ketinggalan zaman, kurangnya pelatihan yang sesuai untuk staf, dan penilaian risiko yang tidak memadai. Ini, klaim ICO, pada akhirnya membuat bisnis rentan terhadap penjahat dunia maya.
ICO telah melayani Interserve dengan pemberitahuan niat dokumen hukum yang datang sebelum denda. Denda sementara adalah £4,4 juta dan setelah mempertimbangkan perwakilan dari Interserve, ICO memutuskan untuk tidak mengabaikannya.
John Edwards, Komisaris Informasi Inggris, mengatakan dalam sebuah pernyataan:
“Bisnis risiko dunia maya terbesar yang dihadapi bukan dari peretas di luar perusahaan mereka, tetapi dari rasa puas diri di dalam perusahaan mereka. Jika bisnis Anda tidak secara teratur memantau aktivitas mencurigakan dalam sistemnya dan gagal bertindak berdasarkan peringatan, atau tidak memperbarui perangkat lunak dan gagal memberikan pelatihan kepada staf, Anda dapat mengharapkan denda serupa dari kantor saya.
“Membiarkan pintu terbuka bagi penyerang cyber tidak pernah dapat diterima, terutama ketika berurusan dengan informasi paling sensitif dari orang-orang. Pelanggaran data ini berpotensi menyebabkan kerugian nyata bagi staf Interserve, karena membuat mereka rentan terhadap kemungkinan pencurian identitas dan penipuan keuangan. ”
Sumber: The Register
