image

Britse webwinkel krijgt 65.000 euro boete wegens datalek

dinsdag 2 mei 2017, 12:31 door Redactie, 5 reacties

Een Britse webwinkel heeft een boete van omgerekend 65.000 euro gekregen omdat het klantgegevens die drie jaar geleden werden gestolen niet goed had beveiligd. De website van Construction Materials Online (CMO), een online aanbieder van bouwmaterialen, was kwetsbaar voor sql-injection.

Sql-injection is een probleem dat al sinds de vorige eeuw bekend is, maar nog steeds bij veel websites wordt aangetroffen omdat webdevelopers onveilig programmeren en organisaties hun websites niet laten testen. Via sql-injection kunnen aanvallers met de database achter een website communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en al dan niet versleutelde wachtwoorden, te stelen.

In het geval van CMO wist een aanvaller via sql-injection de onversleutelde gegevens van creditcardhouders te stelen, waaronder namen, adresgegevens, rekeningnummers en beveiligingscodes. Onderzoek door de Britse databeschermingsautoriteit ICO wees uit dat CMO de veiligheid van de website niet regelmatig liet testen, waardoor het beveiligingslek onopgemerkt bleef. Daarnaast waren de gebruikte wachtwoorden niet sterk genoeg om een bruteforce-aanval te weerstaan.

"Het zijn niet alleen grote, bekende bedrijven die met cybersecurity rekening moeten houden. Cybersecurity moet voor alle bedrijven een topprioriteit zijn, ongeacht hun omvang", zegt Steve Eckersley, hoofd handhaving van de ICO. "Deze boete is een waarschuwing voor andere mkb-bedrijven dat de veiligheid van de persoonlijke informatie van hun klanten op de eerste plek moet komen."

Reacties (5)
02-05-2017, 12:35 door Anoniem
Zijn dit nu wel de juiste prikkels?

Als je nu toegeeft dat je data is gelekt/gestolen (verplicht) dan wordt je na enige tijd bestraft met een boete .... Niet echt een prikkel voor een bedrijf om het direct weer aan te geven mocht het nog eens gebeuren. Geef deze bedrijven liever een verplichte cursus hoe het wel moet! Dat kost ook geld maar dan levert het misschien nog wat op.

Johan.
02-05-2017, 15:06 door Anoniem
Door Anoniem: Zijn dit nu wel de juiste prikkels?

Als je nu toegeeft dat je data is gelekt/gestolen (verplicht) dan wordt je na enige tijd bestraft met een boete .... Niet echt een prikkel voor een bedrijf om het direct weer aan te geven mocht het nog eens gebeuren. Geef deze bedrijven liever een verplichte cursus hoe het wel moet! Dat kost ook geld maar dan levert het misschien nog wat op.

Johan.

Jawel, alleen boetes lijken pijn te doen. Het is gewoon business. Als het niets kost, wordt er ook geen extra geld uitgetrokken voor een betere leverancier. Nu moet men het meenemen in de kosten, en kan men dus in de toekomst afwegen. Als we er een goedkope rommel van maken, kan het ons 65k kosten, dus laten we het budget voor de webwinkel verhogen met 30k, voor een externe audit bijvoorbeeld.

En met deze boete kunnen ze natuurlijk ook hun leverancier aanpakken, en via hun nalatigheid/incompetentie hen aansprakelijk stellen. Wellicht is het een zzp'er of ander klein bedrijfje dat hierdoor failliet gaat, kunnen ze mooi hun onkunde niet verder verspreiden.

Daarnaast kan die 65k goed besteed worden aan de mensen die met de overlast kwamen te zitten. Die worden altijd vergeten.
03-05-2017, 09:19 door Anoniem
Door Anoniem: Zijn dit nu wel de juiste prikkels?

Als je nu toegeeft dat je data is gelekt/gestolen (verplicht) dan wordt je na enige tijd bestraft met een boete .... Niet echt een prikkel voor een bedrijf om het direct weer aan te geven mocht het nog eens gebeuren. Geef deze bedrijven liever een verplichte cursus hoe het wel moet! Dat kost ook geld maar dan levert het misschien nog wat op.

Uit de in het artikel gelinkte pagina:
But the investigation also revealed that CMO’s failure to keep customers’ personal data safe was an oversight rather than an intentional attempt to bypass the law.

Mr Eckersley said:
“It’s not just large, household-name companies that have to consider cyber security. Cyber security must be a top priority for businesses regardless of size.

This fine must serve as a warning to other small and medium-sized firms that the security of their customers’ personal information must come first.”
Nadruk door mij toegevoegd. Dit is een instituut dat gelooft in straffen als afschrikwekkend voorbeeld voor anderen.

Door Anoniem: Jawel, alleen boetes lijken pijn te doen. Het is gewoon business. Als het niets kost, wordt er ook geen extra geld uitgetrokken voor een betere leverancier.
Ik zie meer in de benadering van onze AP. Die mag dwangsommen en tegenwoordig ook boetes opleggen, maar doet dat als dat nodig is om het doel te bereiken. Als een overtreder domweg door erop aangesproken te worden al in beweging komt en zijn zaken op orde brengt is er geen boete nodig, en dat gebeurt. Dat is niet soft, met dwangsommen alleen al kunnen de kosten van niet aan de wet voldoen behoorlijk oplopen. De mogelijkheid om die financiële pijn toe te brengen wordt ingezet als die nodig is.
03-05-2017, 22:21 door [Account Verwijderd]
[Verwijderd]
04-05-2017, 13:04 door Anoniem
Door 4amrak: zachte heelmeesters maken stinkende wonden

de grens is duidelijk, de investering ook, doe je die niet, dan rigoreus ook die straf, niet mutsen, je zaken gewoon op orde hebben.

Misschien in Engeland het geval, maar hier kan je gewoon je gang gaan. Niemand die hier zich ook maar iets van aantrekt, want toch geen boete....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.