パッチ当てずにランサムウェア被害にあった英法律事務所、罰金命じられる

headless 曰く、　英国の刑事事件弁護士事務所 Tuckers Solicitors LLP が不適切なセキュリティ状態のコンピューターで 5 か月にわたって個人情報を処理していたとして、英情報コミッショナー事務局 (ICO) から罰金 98,000 ポンドを命じられている(ICO の通知: PDF、The Register の記事)。

同社は 2020 年 8 月 24 日にランサムウェア攻撃を受けていたことに気付き、翌 25 日には個人情報が侵害されていたとの判断に至る。攻撃者は 972,191 件の個人情報ファイルを暗号化し、裁判所文書に関連する 60 件を抽出してダーク Web で公開したという。ICO はランサムウェア被害の原因となったソフトウェアの脆弱性に対するセキュリティパッチが 2020 年 1 月に提供開始されていたにもかかわらず、同社が適用したのは 2020 年 6 月であり、その間に攻撃を受けたと判断。EU の一般データ保護規則 (GDPR) および英国の個人情報保護法 (DPA) で個人情報の管理者 (controller) に義務付けられた適切な保護措置をとっていなかったとして、3 月 29 日までの罰金支払いを命じた。

スラドのコメントを読む | セキュリティセクション | セキュリティ | EU | 英国 | 法廷 | ソフトウェア | YRO | バグ | プライバシ

　関連ストーリー：
NVIDIAのプロプライエタリ情報を盗み出したハッキンググループ、ドライバーのオープンソース化を要求 2022年03月05日
車部品メーカーGMB、ランサムウェア攻撃を受けるも紙ベースのため操業に影響なし 2022年03月04日
NVIDIAがサイバー攻撃を受ける。NVIDIA側もサイバー攻撃で反撃とも 2022年03月02日