Una brecha de seguridad y su correspondiente violación de datos tiene muchos costes para las empresas que las sufren. Y uno de ellos puede darse a posteriori, cuando las autoridades pertinentes sancionan a la organización que la ha sufrido por una incorrecta protección de la información.
Interserve Group, compañía británica centenaria dedicada a servicios de construcción y soporte para negocios, ha sido sancionada con 4,4 millones de libras por un incidente de ciberseguridad.
La Oficina del Comisionado de Información (ICO) del país ha multado a la firma por violar las leyes de protección de datos tras no proteger los datos personales de sus empleados.
Un grupo de ciberdelincuentes que todavía no ha sido identificado lanzó un ataque de phishing en mayo de 2020 para obtener acceso a los sistemas de Interserve. Un empleado llegó a abrirlo y descargar su contenido.
Este gesto abrió la puerta a que un actor de amenazas penetrara en 283 sistemas y 16 cuentas. Así los cibermalos pudieron hacerse con información personal y financiera de sus 113.000 trabajadores actuales y ex trabajadores. No solo eso, sino que el hacker encriptó estos datos y los hizo inaccesibles.
La información personal como nombres, direcciones y números de cuentas bancarias se encontraban entre los datos filtrados, junto con cierta categoría de información como origen racial, religión, información sobre discapacidades, orientación sexual y registros médicos.
Los empleados, el mayor peligro
Tras una investigación ICO llegó a la conclusión de que la empresa no había implementado las medidas de seguridad necesarias para evitar el ciberataque.
John Edwards, comisionado de información del Reino Unido, ha señalado que "las empresas corren más peligro por la complacencia interna que por los piratas informáticos externos. Puedes anticipar una multa similar de mi oficina si tu empresa no verifica rutinariamente sus sistemas en busca de comportamientos sospechosos e ignora las alertas o si no actualiza el software y no enseña a los empleados".
El ICO tiene autoridad para sancionar a un controlador de datos con hasta 17,5 millones de libras o el 4% de sus ingresos globales anuales totales, lo que sea mayor. Esta multa se impuso por la violación del Reglamento General de Protección de Datos.