Управление комиссара по информации Великобритании (Information Commissioner’s Office, ICO) впервые оштрафовало юридическую компанию-жертву кибервымогателей Tuckers Solicitors LLP, сообщает во вторник dataprotectionreport.com.
Регулятор решил, что компания нарушила европейский закон о защите персональных данных (General Data Protection Regulation, GDPR) в части предпринятых мер для предотвращения кибератак, и выписал штраф на 98 тысяч фунтов (около 130 тысяч долларов).
Отметим, что, несмотря на выход Великобритании из ЕС, принятый в 2018 году Евросоюзом GDPR до сих пор действует с рядом оговорок на территории королевства.
Атака была осуществлена 24 августа 2020 года. Tuckers Solicitors доложила регулятору о нападении на следующий день. Как показало расследование ICO, фирма не предприняла необходимые для противодействия хакерам технические и организационные меры.
В частности, не использовалась многофакторная аутентификация, не проводилось своевременное обновление программ, компания хранила персональные данные (ПД) в незашифрованном виде.
В итоге хакерам удалось зашифровать 972 191 файл, 24 712 из которых касались судебных разбирательств. 60 судебных дел были выложены злоумышленниками в даркнете (DarkNet). В них содержались ПД и «информация особой категории», включая медицинские данные, имена жертв и свидетелей, а также показания последних.
