Britse webwinkel krijgt 65.000 euro boete wegens datalek
Een Britse webwinkel heeft een boete van omgerekend 65.000 euro gekregen omdat het klantgegevens die drie jaar geleden werden gestolen niet goed had beveiligd. De website van Construction Materials Online (CMO), een online aanbieder van bouwmaterialen, was kwetsbaar voor sql-injection.
Sql-injection is een probleem dat al sinds de vorige eeuw bekend is, maar nog steeds bij veel websites wordt aangetroffen omdat webdevelopers onveilig programmeren en organisaties hun websites niet laten testen. Via sql-injection kunnen aanvallers met de database achter een website communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en al dan niet versleutelde wachtwoorden, te stelen.
In het geval van CMO wist een aanvaller via sql-injection de onversleutelde gegevens van creditcardhouders te stelen, waaronder namen, adresgegevens, rekeningnummers en beveiligingscodes. Onderzoek door de Britse databeschermingsautoriteit ICO wees uit dat CMO de veiligheid van de website niet regelmatig liet testen, waardoor het beveiligingslek onopgemerkt bleef. Daarnaast waren de gebruikte wachtwoorden niet sterk genoeg om een bruteforce-aanval te weerstaan.
"Het zijn niet alleen grote, bekende bedrijven die met cybersecurity rekening moeten houden. Cybersecurity moet voor alle bedrijven een topprioriteit zijn, ongeacht hun omvang", zegt Steve Eckersley, hoofd handhaving van de ICO. "Deze boete is een waarschuwing voor andere mkb-bedrijven dat de veiligheid van de persoonlijke informatie van hun klanten op de eerste plek moet komen."
Als je nu toegeeft dat je data is gelekt/gestolen (verplicht) dan wordt je na enige tijd bestraft met een boete .... Niet echt een prikkel voor een bedrijf om het direct weer aan te geven mocht het nog eens gebeuren. Geef deze bedrijven liever een verplichte cursus hoe het wel moet! Dat kost ook geld maar dan levert het misschien nog wat op.
Johan.
Als je nu toegeeft dat je data is gelekt/gestolen (verplicht) dan wordt je na enige tijd bestraft met een boete .... Niet echt een prikkel voor een bedrijf om het direct weer aan te geven mocht het nog eens gebeuren. Geef deze bedrijven liever een verplichte cursus hoe het wel moet! Dat kost ook geld maar dan levert het misschien nog wat op.
Johan.
Jawel, alleen boetes lijken pijn te doen. Het is gewoon business. Als het niets kost, wordt er ook geen extra geld uitgetrokken voor een betere leverancier. Nu moet men het meenemen in de kosten, en kan men dus in de toekomst afwegen. Als we er een goedkope rommel van maken, kan het ons 65k kosten, dus laten we het budget voor de webwinkel verhogen met 30k, voor een externe audit bijvoorbeeld.
En met deze boete kunnen ze natuurlijk ook hun leverancier aanpakken, en via hun nalatigheid/incompetentie hen aansprakelijk stellen. Wellicht is het een zzp'er of ander klein bedrijfje dat hierdoor failliet gaat, kunnen ze mooi hun onkunde niet verder verspreiden.
Daarnaast kan die 65k goed besteed worden aan de mensen die met de overlast kwamen te zitten. Die worden altijd vergeten.
Als je nu toegeeft dat je data is gelekt/gestolen (verplicht) dan wordt je na enige tijd bestraft met een boete .... Niet echt een prikkel voor een bedrijf om het direct weer aan te geven mocht het nog eens gebeuren. Geef deze bedrijven liever een verplichte cursus hoe het wel moet! Dat kost ook geld maar dan levert het misschien nog wat op.
Uit de in het artikel gelinkte pagina:
Mr Eckersley said:
“It’s not just large, household-name companies that have to consider cyber security. Cyber security must be a top priority for businesses regardless of size.
“This fine must serve as a warning to other small and medium-sized firms that the security of their customers’ personal information must come first.”
de grens is duidelijk, de investering ook, doe je die niet, dan rigoreus ook die straf, niet mutsen, je zaken gewoon op orde hebben.
Misschien in Engeland het geval, maar hier kan je gewoon je gang gaan. Niemand die hier zich ook maar iets van aantrekt, want toch geen boete....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
