Медицинская компания оштрафована за утечку по вине сотрудника

Компания Bupa заплатит 175 тыс. фунтов стерлингов (около $230 тыс.) за то, что допустила внутреннюю кражу данных более полумиллиона клиентов. Об этом издание IT PRO.

Один из сотрудников Bupa в прошлом году пытался продать в даркнете персональные данные 547 тыс. клиентов. Злоумышленнику удалось похитить из своей компании такую информацию, как даты рождения, адреса электронной почты и сведения о гражданстве. Bupa была проинформирована об инциденте 16 июня 2017 г., когда один из ее партнеров нашел объявление о продаже клиентской базы.

Как выяснилось, сотрудник имел доступ к корпоративной CRM-системе с данными более 1,5 млн клиентов. Скачивая информацию, недобросовестный работник отправлял ее на личный электронный адрес. В период с января по март 2017 г. украденные данные были загружены в даркнет.

Изучив допущенное нарушение, в Bupa выяснили, что система мониторинга имеет серьезный недостаток – из-за него компания не получала уведомлений о нетипичных активностях в CRM, включая загрузку больших объемов данных.

«Bupa не смогла определить, что данные людей подвергаются риску и не предпринимала адекватных мер по их защите», - заявил Стив Эккерсли (Steve Eckersley), директор по исследованиям британского информационного регулятора ICO.

Штраф в размере 175 тысяч фунтов назначен за нарушение британского закона о защите данных (Data Protection Act), принятого в 1998 г. Bupa удалось избежать более строгого наказания, поскольку нарушение было зафиксировано до вступления в силу Общего регламента по защите данных (General Data Protection Regulation, GDPR). Регламент действует с 25 мая 2018 г. и предусматривает штраф в размере до 4% от оборота компании, допустившей утечку информации граждан Евросоюза и Великобритании.