パッチを当てずにランサムウェア被害にあった英法律事務所、情報保護当局から罰金を命じられる 29
ストーリー by nagazou
罰金 部門より
罰金 部門より
headless 曰く、
英国の刑事事件弁護士事務所 Tuckers Solicitors LLP が不適切なセキュリティ状態のコンピューターで 5 か月にわたって個人情報を処理していたとして、英情報コミッショナー事務局 (ICO) から罰金 98,000 ポンドを命じられている (ICO の通知: PDF、 The Register の記事)。
同社は 2020 年 8 月 24 日にランサムウェア攻撃を受けていたことに気付き、翌 25 日には個人情報が侵害されていたとの判断に至る。攻撃者は 972,191 件の個人情報ファイルを暗号化し、裁判所文書に関連する 60 件を抽出してダーク Web で公開したという。ICO はランサムウェア被害の原因となったソフトウェアの脆弱性に対するセキュリティパッチが 2020 年 1 月に提供開始されていたにもかかわらず、同社が適用したのは 2020 年 6 月であり、その間に攻撃を受けたと判断。EU の一般データ保護規則 (GDPR) および英国の個人情報保護法 (DPA) で個人情報の管理者 (controller) に義務付けられた適切な保護措置をとっていなかったとして、3 月 29 日までの罰金支払いを命じた。
まあ当然だよね (スコア:0)
やることやってなくて人様に迷惑かけたんだから
安全配慮義務違反みたいなもんでしょ
Re: (スコア:0)
これ、わが国でも広まってほしいな。
かなり問題が減ることが期待できる。
Re: (スコア:0)
直さなくても済んだかもしれないのに、逆に問題が増えそう
Re: (スコア:0)
パッチを当てるなんて高度なこと、できるならやってるもんね
Re: (スコア:0)
作業が高度な技術が必須だと情状酌量されるし、軽度で注意力的問題だと業務上の義務を怠った扱いされるだけの話だからなあ。
って事で、この弁護士はパッチの難易度が高いとか他の要件に影響して出来ないとかの照明が出来なかったって事で、情状酌量の余地を引き出せなかったわけだ。
Re: (スコア:0)
たとえば、医療機器。技適警察みたいに、認定機器警察みたいなのがいて、パッチひとつあてたら、FW変更ひとつしたら違反って言われることあるよ。
で、そこにあぐらかいて、ベンダは買い換えろって言ってくるからね。
Re: (スコア:0)
本邦でも漏洩を防止するための安全管理措置は義務では?
Re: (スコア:0)
罰金課された実例ありましたっけ?
Re: (スコア:0)
個人情報流出に含まれるんじゃない?
流出自体は報道されるけど詳細まではされないし。
Re: (スコア:0)
個人情報の保護に関する法律 | e-Gov法令検索 [e-gov.go.jp]
これね。あとは不正アクセス禁止法でもアクセス管理者による防御措置 [e-gov.go.jp]の努力義務が定められているけど、ランサムウェアだと対象外ってことになっちゃうのかな。
Re: (スコア:0)
踏み台になってるブロードバンドルータも対象になるといいな。
ユーザ登録したところにはハガキで買い替えるかファームウェアアップデートするかどっちかをするようにとね。
登録してなくても他人に迷惑をかけているとこういうことがあるとしれば「自分もあぶないかも」と考えるようにならんかな……ほどんどならんだろうな。こういう情報は届いてほしい人には届かないんですよね~
Re: (スコア:0)
適切なサポートを提供しないメーカーを罰するような制度を作るのが先だな
話はそれからだ
どうせ罰金支払わされるのなら (スコア:0)
サイバーノーガード戦法だ!となりそう。
保守コストかけてもハッキングされたら元も子もないやん、となるので。
Re: (スコア:0)
対策ってのはリスクの確率を下げるための行為なんやで。
Re: (スコア:0)
パッチ当てるだけで98,000ポンド(≒1,500万)の保守コストをかけるアホか、そうと仮定するアホならノーガードも視野に入れるだろうな
Re: (スコア:0)
顧客を納得させる120%-200%のセキュリティとなれば、社内一括、リースなり償却なり、プラス保守契約・保守要員って話になるとおもうの
Re: (スコア:0)
> 顧客を納得させる120%-200%のセキュリティ
顧客を納得させるってどっから出てきた話?
強いて言うなら納得させるのはICOだぞ?
120%-200%のセキュリティ?
全部意味不明なんだけど何のこと?
謎の仮定を前提に謎の話になると思うのとか言われても、勝手に思ってろとしか言いようがないと思うの
今回のケースは「パッチをあてろ」以外の事は誰も要求してないぞ
Re: (スコア:0)
「EU の一般データ保護規則 (GDPR) および英国の個人情報保護法 (DPA) で個人情報の管理者 (controller) に義務付けられた適切な保護措置」を取れといってる。
顧客は、それ以上、な。
Re: (スコア:0)
「納入したらそれっきり、ちょっとでも手を加えるなら開発チーム立ち上げ直して全テスト工程やり直し&保守なのでそのチームの維持費を毎月頂きます。」
みたいな事ぬかす相手だとふつーにそれ以上の金請求して来そう。
猶予は? (スコア:0)
1月公開→6月パッチ当て 罰金1500万
3月パッチ当てなら750万?
1週間後なら70万?
Re:ランサムウェア攻撃したやつを見つけ出して賠償させればいいのでは? (スコア:2)
Tuckers 社がUKの個人情報保護法に違反したという前科は消せないからなあ。
弁護士会社としては社会的ダメージが大きそう。
ただTuckers社は、GDPRのインシデント発生から当局に72時間以内に届け出をする
という義務は果たしているので、そこは世間も酌量するかも。
Re: (スコア:0)
お前は弁護士をなんだと思ってるんだ?
サイバー捜査官か何かと勘違いしてるのかね。
Re: (スコア:0)
法的に情報開示し続けて犯人を追えばいいじゃないか
Re: (スコア:0)
犯人が国内にいればね
Re: (スコア:0)
そんなんで稼げるのなら今頃成功報酬で受けるって弁護士だらけになってるはず。
過払い金の如く。
弁護士だって仕事で商売だから損得勘定位するんだよ。
Re: (スコア:0)
着手金は無料、手遅れになる前にご相談を!
Re: (スコア:0)
そういった詐欺メールは既にある。
大抵英語なんで都合よいことにお偉いさんでも読まずに捨ててくれているが。
それ以前だな (スコア:0)
裁判起こしてなんだかんだと理由ならべで罰金回避して見せれば、有能と思われて仕事が増えると思うんだ。