Britse privacytoezichthouder krijgt overtreder achter de tralies
Een Britse medewerker van een autoherstelbedrijf die inloggegevens van collega's gebruikte om duizenden klantgegevens op te vragen is in Groot-Brittannië veroordeeld tot een gevangenisstraf van zes maanden. Het is voor het eerst dat de Britse privacytoezichthouder ICO iemand onder de Wet op computermisbruik heeft laten vervolgen.
Normaliter maakt de ICO altijd gebruik van de Britse databeschermingswetgeving uit 1998 of 2018. Vanwege de aard van deze zaak en om de rechter meer strafopties te bieden, besloot de toezichthouder tot vervolging onder de Wet op computermisbruik over te gaan. De verdachte was werkzaam voor het autoherstelbedrijf Nationwide Accident Repair Services (NARS).
Hij gebruikte inloggegevens van collega's om zonder toestemming in te loggen op een systeem dat de reparatiekosten van auto's berekent. De verdachte bleef dit toen, ook al was hij bij een ander autoherstelbedrijf aan de slag gegaan. Op deze manier heeft de man toegang tot gegevens van duizenden klanten gekregen, zoals naam, telefoonnummers, soort voertuig en informatie over het ongeluk.
NARS benaderde de ICO nadat het een toename zag van klanten die telefonisch waren lastiggevallen. "Hoewel dit een databeschermingszaak was, konden we in deze zaak verder dan de databeschermingswetgeving vervolgen, wat in een hogere straf resulteerde om de aard van het vergrijp te laten zien", zegt Mike Shaw van de ICO.
Ik lees nergens wat over feitelijk verootzaakte schade. En ook niks over aansprakelijkheid van die collegas wegens slorig zijn met wachtwoorden. Dat hoeft ook niet want het is in het strafrecht getrokken. Zoals analoog inbreken ook gewoon strafbaar inbreken is. Zelfs als je (bijna) niks gepikt hebt of dat het je misschien wel erg gemakkelijk werd gemaakt met informatie van de bewoners zelf.
En het is gelijk een half jaar zitten. Computervredebreuk.
Kortom, hou je voordeur goed op slot (software up to date houden), zorg dat je bij de les blijft (elke dag security.nl lezen), maar lukt het iemand om in te breken dan is dat strafbaar. En een half jaar kentekenplaten maken.
Je hoeft je wat dat betreft ook weer niet teveel slapeloze nachten op de hals te halen wegens die nieuwe GDPR. Wat tenslotte maar civielrecht blijft. Wel handig om eens goed naar je logging te kijken (als een camera in je huis). Zodat ze de inbreker kunnen pakken.
Je zou met alle discussie over de privacy wetten maar zomaar vergeten dat computervredebreuk inderdaad strafbaar is. Ook als het gewoon hahahaha admin/admin is of 1234/1234. Dat kan ook gewoon een half jaar douchen met je nieuwe liefde opleveren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
