FCA数据违规可能会发生在任何人身上,但易于避免
安全行业一直在金融行为管理局(FCA)的次要数据违约,该漏洞发生在其网站上不小心在其网站上发表的个人身份信息(PII),以应对去年的信息自由。该事件已看到看门狗将自身称为信息专员办公室(ICO)。
受损的数据涉及1,600次签发,他对2018年1月2日和2019年7月17日至2019年7月17日之前对FCA进行了投诉,包括据英国人的Pro-Brexit Campaigner Arron Banks,他们一直在过去由于违规行为的ICO执法行动而受到违法行为隐私法。
“一旦我们意识到这一点,我们就删除了我们网站的相关数据,”在一份声明中的FCA说。“我们已经进行了全面的审查,以确定可能已获得的任何信息的程度。我们的主要关注是确保保护和保护可能与数据可识别的杀戮。“
在大多数情况下,公开信息的范围仅仅是申诉人的名称,没有其他机密细节或与其投诉有关的具体细节。但在其他情况下,额外的机密信息包含在投诉的描述中。已知此信息包含包含地址和电话号码。
“在这种情况下,我们正在直接接触有关的辛西人,道歉,并告知他们所揭示的数据的程度以及下一步可能是什么,”FCA说。“没有包括财务,付款卡,护照或其他身份信息。”
Huntsman Security的产品管理负责人威尔逊表示,该事件突出显示组织在没有网络犯罪附近的任何地方的情况下创建自己的漏洞。
“无论组织是什么,还是在安全和隐私方面有多少经验,可能会发生错误,”他说。“这些可以是信息旨在共享但是已经消毒,或者以其他方式存储,传输或共享信息。”
MIMECAST威胁情报总监Francis Gaffney补充说:“这样的错误可以很容易地避免,并且在经济上和声誉角度都有大规模的影响。
“为了防止这些错误,IT团队必须确保他们了解他们的环境并确切地知道数据在始终存储的位置。这将使它们能够轻松识别任何漏洞并迅速修复任何问题。
“这同样重要的是,组织对诸如此类的事件做好充分准备。他们必须为任何网络事件提供详细的和深思熟虑的计划,以确保任何缓解和尽可能有效。“
Gaffney补充说:“该计划需要定期进行测试,执行各种可能和有抗冲的情景,以保持流程良好且高效的过程。通过这样做,如果组织确实遭受了某种意义,它可以快速有效地响应以最大限度地减少损坏。“
尽管如此,托尼维特,合作伙伴和数据保护的合作伙伴和数据保护头部,即使数据通过简单的错误暴露,有指标是FCA以其他方式疏忽。
“在信息自由和数据保护法之间存在重叠,并且有特定的豁免,允许识别从FOI反应中排除第三方的个人数据,”他说。
“这通常是通过手动或电子方式”缩写“识别第三方的零件来完成的。这似乎没有完成。虽然信息只有简短地提供,但FCA面临来自ICO的罚款的风险,并且可能要求任何受影响的人赔偿赔偿“。
Clario的首席执行官Alun Baker赞扬了FCA,至少可以管理在强制72小时窗口中通知受影响的人。但他补充说:“这不会弥补人类错误,导致数千个人详细信息公开可用三个月,并调用FCA的保障措施。
“在公司保护客户的细节和辛勤人需要控制他们的人身安全以保护自己的方式,需要对其进行严重的动荡。ico需要确保它采用强大的威慑力,并应该指导从罚款收集的钱,帮助消费者受到数据违规的影响。“
FCA更习惯于在数据保护故事的另一边找到自己。回到2018年,它拖着煤炭的Tesco Bank,罚款16.4米,未能在2016年11月的网络攻击中保护客户的适当技能,关怀和勤奋。
FCA表示,该攻击措施9,000名Tesco银行客户在欺诈性交易中丢失了2.26万英镑的欺诈性交易中,在Tesco银行借记卡,其金融犯罪管制及其金融犯罪行动团队设计中大写“缺陷”。