Sony accepteert megaboete wegens PSN-hack
Sony gaat niet in beroep tegen de boete van 300.000 euro die het kreeg opgelegd wegens het niet installeren van beveiligingsupdates waardoor aanvallers de gegevens van miljoenen gebruikers wisten buit te maken. Volgens de Britse Information Commissioner’s Office (ICO) had Sony de aanval kunnen voorkomen als de software die het gebruikte up-to-date was geweest.
"Als je voor zoveel creditcardgegevens en inloggegevens verantwoordelijk bent, hoort het beveiligen van die persoonlijke gegevens je prioriteit te hebben", zo liet David Smith, databeschermingsdirecteur van de ICO, in januari weten. Volgens Smith had Sony, zeker gezien de technische expertise die in het bedrijf aanwezig is, beter moeten weten.
Nu laat de ICO via Twitter weten dat Sony niet tegen de boete in beroep gaat, wat betekent dat het de 300.000 euro moet betalen en accepteert dat het nalatig is geweest in het beveiligen van de systemen.
Verder is de technische aard van het bedrijf geen factor. Elke IT manager weet dat het niet installeren van patches binnen een week leidt tot vele te misbruiken beveiligingsgaten. Daarnaast is het weer typisch dat het niet installeren van patches als reden gegeven wordt. Hoe zit het met de governance en de compliance processen? Waarom is het mogelijk dat software zonder behoorlijk patch management productie draait? Waarom heeft het management geen regels laten opstellen EN borgen om een minimaal kwaliteitsniveau te borgen zodat dergelijke misstanden niet kunnen ontstaan?
Blijkbaar is het een bedrijf zoals vele andere... Maak nou eens wettelijke regels om ervoor te zorgen dat niet alleen officieren van een bedrijf aansprakelijk zijn maar ook het middle management. Daar gaat het fout en daar ligt vaak ook het probleem. Men gaat er vanuit dat anderen (afdeling security) het wel regelen. Maar in de meeste bedrijven hebben die onvoldoende macht om behoorlijke beveiliging af te dwingen bij het ontwerp en de implementatie van IT oplossingen.
Maar ook de houding van IT security moet veranderen. Van een kan niet houding naar een kan wel als we het zo doen want dan is het veilig en betaalbaar. Probleem is weer dat je dan echte security experts nodig hebt die echt weten waar ze het over hebben en de gehele applicatie en infra security kunnen overzien. Slik dat betekent dat je echte professionals moet gaan inhuren en dat de organisatie eigenlijk moet gaan investeren in een echte security management methodiek. Van architectuur tot aan de decommisie van systemen aan toe. Tja dat kost tijd en geld. Veel meer dan die 250K dus tja komt Sony hier nog heel goedkoop weg weer...
Beveilig alles met DRM(-encryptie);
Sla customer data plain-text op.
£ 250.000 < £ 1.000.000.
Niks megaboete.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
