ICO表示，企业的自满正“为网络攻击者敞开大门”

约翰·爱德华兹说，许多公司对一些基本措施太过放松，比如保持软件更新，培训员工以将不良分子渗透的风险降至最低。

此前，英国信息专员办公室(ICO)对总部位于伯克郡的建筑公司Interserve Group开出了440万英镑的罚单，原因是该公司未能保护员工的个人信息安全，违反了数据保护法。

ICO发现，该公司未能采取适当的安全措施来防止网络攻击，这使得黑客能够通过钓鱼邮件访问多达11.3万名员工的个人数据。

被泄露的数据包括个人信息，如联系方式、国民保险号码和银行账户详细信息，以及特殊类别数据，包括种族、宗教、任何残疾的详细信息、性取向和健康信息。

“企业面临的最大网络风险不是来自公司外部的黑客，而是来自公司内部的自满。如果你的企业不定期监控其系统中的可疑活动，不对警告采取行动，或不更新软件，不为员工提供培训，我的办公室可能会对你开出类似的罚单。”爱德华兹说

“对网络攻击者敞开大门永远都是不可接受的，尤其是在处理人们最敏感的信息时。这次数据泄露有可能对Interserve的员工造成真正的伤害，因为它使他们很容易受到身份盗窃和财务欺诈的伤害。”

Interserve的黑客攻击发生在一名员工将一封没有被公司系统隔离或屏蔽的钓鱼邮件转发给另一名员工后，该员工打开邮件并下载了内容。这导致恶意软件被安装到员工的工作站上。

虽然杀毒软件隔离了恶意软件并发出警报，但Interserve未能彻底调查可疑活动。ICO表示，如果他们这么做了，Interserve就会发现攻击者仍然可以访问该公司的系统。

攻击者随后破坏了283个系统和16个账户，并卸载了该公司的反病毒解决方案。多达11.3万名现任和前任雇员的个人数据被加密，无法获取。

ICO调查发现，Interserve未能跟进最初的可疑活动警报，使用过时的软件系统和协议，员工培训不足，风险评估不足，这最终使他们容易受到网络攻击。

在此类攻击事件中，有一项监管要求，要求公司向作为数据监管机构的ICO报告。

ICO和国家网络安全中心(National Cyber Security Centre)此前曾表示，机构不得为数据泄露支付赎金，因为这不会降低个人的风险，也不被视为保护数据的合理措施。

ICO有权对数据控制者处以最高1750万英镑的罚款，或全球年营业额的4%(以较高者为准)。