Sony accepteert megaboete wegens PSN-hack
Sony gaat niet in beroep tegen de boete van 300.000 euro die het kreeg opgelegd wegens het niet installeren van beveiligingsupdates waardoor aanvallers de gegevens van miljoenen gebruikers wisten buit te maken. Volgens de Britse Information Commissioner’s Office (ICO) had Sony de aanval kunnen voorkomen als de software die het gebruikte up-to-date was geweest.
"Als je voor zoveel creditcardgegevens en inloggegevens verantwoordelijk bent, hoort het beveiligen van die persoonlijke gegevens je prioriteit te hebben", zo liet David Smith, databeschermingsdirecteur van de ICO, in januari weten. Volgens Smith had Sony, zeker gezien de technische expertise die in het bedrijf aanwezig is, beter moeten weten.
Nu laat de ICO via Twitter weten dat Sony niet tegen de boete in beroep gaat, wat betekent dat het de 300.000 euro moet betalen en accepteert dat het nalatig is geweest in het beveiligen van de systemen.
Verder is de technische aard van het bedrijf geen factor. Elke IT manager weet dat het niet installeren van patches binnen een week leidt tot vele te misbruiken beveiligingsgaten. Daarnaast is het weer typisch dat het niet installeren van patches als reden gegeven wordt. Hoe zit het met de governance en de compliance processen? Waarom is het mogelijk dat software zonder behoorlijk patch management productie draait? Waarom heeft het management geen regels laten opstellen EN borgen om een minimaal kwaliteitsniveau te borgen zodat dergelijke misstanden niet kunnen ontstaan?
Blijkbaar is het een bedrijf zoals vele andere... Maak nou eens wettelijke regels om ervoor te zorgen dat niet alleen officieren van een bedrijf aansprakelijk zijn maar ook het middle management. Daar gaat het fout en daar ligt vaak ook het probleem. Men gaat er vanuit dat anderen (afdeling security) het wel regelen. Maar in de meeste bedrijven hebben die onvoldoende macht om behoorlijke beveiliging af te dwingen bij het ontwerp en de implementatie van IT oplossingen.
Maar ook de houding van IT security moet veranderen. Van een kan niet houding naar een kan wel als we het zo doen want dan is het veilig en betaalbaar. Probleem is weer dat je dan echte security experts nodig hebt die echt weten waar ze het over hebben en de gehele applicatie en infra security kunnen overzien. Slik dat betekent dat je echte professionals moet gaan inhuren en dat de organisatie eigenlijk moet gaan investeren in een echte security management methodiek. Van architectuur tot aan de decommisie van systemen aan toe. Tja dat kost tijd en geld. Veel meer dan die 250K dus tja komt Sony hier nog heel goedkoop weg weer...
Beveilig alles met DRM(-encryptie);
Sla customer data plain-text op.
£ 250.000 < £ 1.000.000.
Niks megaboete.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
