Η χρηματοοικονομική ρυθμιστική αρχή του Ηνωμένου Βασιλείου, FCA, επέβαλε πρόστιμο στην Equifax Ltd. άνω των 11 εκατομμυρίων λιρών (13,4 εκατομμύρια δολάρια), λόγω μιας σημαντικής παραβίασης δεδομένων το 2017, κατά τη διάρκεια της οποίας κλάπηκαν δεδομένα καταναλωτών.
Η Financial Conduct Authority (FCA) ανακοίνωσε το πρόστιμο, σήμερα 13 Οκτωβρίου 2023. Η FCA δήλωσε ότι η επιχείρηση της Equifax στο Ηνωμένο Βασίλειο απέτυχε να λάβει τα κατάλληλα μέτρα για την προστασία των δεδομένων 13,8 εκατομμυρίων Βρετανών καταναλωτών, που κατείχε η μητρική της εταιρεία (με έδρα τις ΗΠΑ).
Το 2017, η εταιρεία επιβεβαίωσε την παραβίαση δεδομένων 143 εκατομμυρίων αρχείων. Το περιστατικό ανακαλύφθηκε τον Ιούλιο του 2017, αλλά αποκαλύφθηκε δημόσια το Σεπτέμβριο του ίδιου έτους.
Equifax: Η παραβίαση δεδομένων μπορούσε να αποφευχθεί
Οι επιτιθέμενοι εκμεταλλεύτηκαν μια ευπάθεια του Apache Struts για να αποκτήσουν πρόσβαση στις ευαίσθητες πληροφορίες.
Δείτε επίσης: Shadow: Προειδοποιεί για παραβίαση δεδομένων πελατών
Έτσι, κατάφεραν να βρουν στοιχεία των καταναλωτών του Ηνωμένου Βασιλείου επειδή η Equifax Ltd. είχε στείλει δεδομένα σε διακομιστές της Equifax Inc στις ΗΠΑ. Τα δεδομένα που κλάπηκαν, περιελάμβαναν ονόματα, αριθμούς τηλεφώνου, ημερομηνίες γέννησης, στοιχεία σύνδεσης των μελών της Equifax, κάποια στοιχεία πιστωτικής κάρτας και διευθύνσεις κατοικίας.
Η FCA έκρινε ότι η κλοπή δεδομένων των καταναλωτών του Ηνωμένου Βασιλείου ήταν “εντελώς αποτρέψιμη”. Ωστόσο, καθώς η Equifax δεν αντιμετώπισε τη σχέση της με τη μητρική της εταιρεία ως outsourcing, δεν παρείχε επαρκή εποπτεία σχετικά με τον τρόπο διαχείρισης και προστασίας των δεδομένων που έστελνε. Μάλιστα, ήταν γνωστό ότι υπήρχαν “γνωστές αδυναμίες στα συστήματα ασφάλειας δεδομένων της Equifax Inc“.
Η ρυθμιστική αρχή σημείωσε ότι η Equifax Ltd δεν είχε καταλάβει ότι τα δεδομένα των καταναλωτών του Ηνωμένου Βασιλείου είχαν παραβιαστεί, παρά μόνο έξι εβδομάδες αφότου η μητρική της εταιρεία ανακάλυψε το hack. Η επιχείρηση του Ηνωμένου Βασιλείου ενημερώθηκε μόλις πέντε λεπτά πριν από την επίσημη ανακοίνωση τον Σεπτέμβριο του 2017.
Δείτε επίσης: Air Canada: Η ομάδα BianLian πίσω από την παραβίαση δεδομένων;
Έτσι, οι πελάτες του Ηνωμένου Βασιλείου άργησαν να μάθουν ότι είχαν επηρεαστεί από μια σημαντική παραβίαση δεδομένων.
Equifax: Κατηγορείται για παραπλανητικές δηλώσεις σχετικά με την παραβίαση δεδομένων
Η FCA είπε, ακόμα, ότι οι δημόσιες δηλώσεις της Equifax Ltd σχετικά με τον αντίκτυπο της παραβίασης δεδομένων “έδωσαν μια ανακριβή εικόνα του αριθμού των καταναλωτών που επηρεάστηκαν“.
Πρόσθεσε ότι η εταιρεία χειρίστηκε εσφαλμένα τα παράπονα από καταναλωτές, αποτυγχάνοντας να διατηρήσει τους ελέγχους διασφάλισης ποιότητας για τα παράπονα.
Η Jessica Rusu, Chief Data, Information and Intelligence Officer της FCA, ανέφερε ότι η αυστηρή ποινή υπογραμμίζει το γεγονός ότι η κυβερνοασφάλεια και η προστασία δεδομένων είναι ζωτικής σημασίας για την ασφάλεια και τη σταθερότητα των χρηματοπιστωτικών υπηρεσιών.
Δείτε επίσης: Air Europa – παραβίαση δεδομένων: Οι πελάτες καλούνται να ακυρώσουν τις πιστωτικές τους κάρτες
Τόσο οι επιχειρήσεις όσο και οι καταναλωτές πρέπει να αντιληφθούν την ανάγκη προστασίας των δεδομένων, όχι μόνο ως υποχρέωση, αλλά και ως απαραίτητη κοινωνική ευθύνη.
Το 2017, η Equifax, μια από τις μεγαλύτερες εταιρείες στον κλάδο της, υπέστη μια από τις μεγαλύτερες παραβιάσεις δεδομένων. Αυτή η παραβίαση έφερε στο φως την ανεπάρκεια των μέτρων προστασίας δεδομένων και των τεχνολογιών ασφάλειας που είχε υιοθετήσει η εταιρεία.
Μαθαίνοντας από την Equifax
Η περίπτωση της Equifax μας διδάσκει πολλά. Πάνω απ’ όλα, υπογραμμίζει τη δύναμη και τον τιμωρητικό ρόλο που μπορούν να παίξουν οι ρυθμιστικές αρχές σε σχέση με την προστασία δεδομένων. Το πρόστιμο 11 εκατομμυρίων λιρών είναι πραγματικά αυστηρό, υψηλότερο από προηγούμενα που έχουν τεθεί σε αντίστοιχες περιπτώσεις. Δείχνει την ανάγκη για αυξημένα μέτρα προστασίας.
Παρόλο που η Equifax έχει λάβει μέτρα, οι επιχειρήσεις παγκοσμίως πρέπει να συνεχίσουν να εξετάζουν το παράδειγμα αυτό για να βελτιωθούν.
Πηγή: www.infosecurity-magazine.com