.
O órgão de vigilância de dados da Grã-Bretanha deu um tapa no negócio de construção Interserve Group com uma multa potencial de £ 4,4 milhões (US $ 4,98 milhões) depois que um ataque de phishing bem-sucedido por criminosos expôs os dados pessoais de até 113.000 funcionários.
O Gabinete do Comissário de Informação disse a empresa com sede em Berkshire falhou em exercer uma boa higiene de segurança, faltando alertas e muito mais, e por isso foi considerada como tendo violado as leis de proteção de dados.
Em uma ação clássica, um membro da força de trabalho da Interserve encaminhou o e-mail contendo o mal oculto para um colega, que então o abriu e baixou o conteúdo, permitindo que o malware fizesse seu trabalho.
O antivírus em uso colocou o malware em quarentena e enviou um alerta, mas a Interserve “não conseguiu investigar completamente a atividade suspeita”, e isso pode ter revelado que o agente mal-intencionado obteve acesso aos sistemas da empresa.
O criminoso então comprometeu 283 sistemas e 16 contas e desinstalou o software antivírus. “Dados pessoais de até 113.000 funcionários atuais e ex-funcionários foram criptografados e indisponíveis”, disse a ICO em comunicado.
Uma investigação subsequente do regulador de dados encontrou uma série de erros cometidos pela Interserve – incluindo não responder ao alerta inicial de atividade suspeita, uso de sistemas e protocolos de software desatualizados, falta de treinamento adequado para funcionários e avaliações de risco insuficientes. Isso, afirma a ICO, acabou deixando o negócio vulnerável a vilões cibernéticos.
O período de infração foi entre março de 2019 e dezembro de 2020.
A ICO enviou à Interserve um aviso de intenção – um documento legal que vem antes de uma multa. A multa provisória foi de £ 4,4 milhões e, após considerar as representações da Interserve, a ICO decidiu não descontá-la.
John Edwards, Comissário de Informação do Reino Unido, disse em um comunicado:
“O maior risco cibernético que as empresas enfrentam não é de hackers fora de sua empresa, mas da complacência dentro de sua empresa. Se sua empresa não monitora regularmente atividades suspeitas em seus sistemas e não age com avisos ou não atualiza e não fornecer treinamento aos funcionários, você pode esperar uma multa semelhante do meu escritório.
“Deixar a porta aberta para invasores cibernéticos nunca é aceitável, especialmente ao lidar com as informações mais confidenciais das pessoas. Essa violação de dados tinha o potencial de causar danos reais à equipe da Interserve, pois os deixava vulneráveis à possibilidade de roubo de identidade e fraude financeira. “
Edwards disse que está se reunindo com outros reguladores de dados em todo o mundo nesta semana para “trabalhar em direção a uma orientação cibernética internacional consistente, para que os dados das pessoas sejam protegidos onde quer que uma empresa esteja sediada”. ®
.
