未采取足够的资安防护导致资料外泄，英一家中小企业遭罚230万元

企业遭受资安攻击时，只是单纯的受害人角色吗？显然英国政府并不这么想。英国资讯委员办公室(ICO)近日决定裁罚一家中小企业公司，因为连基本的资安防护都未做好，导致遭骇客攻击且用户资料外泄，必须支付6万英镑(约合新台币234万元)的罚款。

这间名为Boomerang Video的电玩出租公司，2014年时遭到骇客对其网站发动SQL Injection攻击，并取走26331名用户个资，部分用户并遭遇身份窃取诈骗并上网抱怨，导致事件曝光。

英国资讯委员办公室执法经理Sally Anne Poole表示，不论规模大小，任何企业都应该采取法律要求的动作保护使用者个资，一间企业如果遭到资安攻击，并被调查发现根本没有采行资安防护动作，都会面临遭罚款的命运。她并强调，在英国明年执行新的通用资料保护法后，罚金还将大幅提高。

根据资讯委员办公室的调查，Boomerang Video公司并未对其网站进行渗透测试，导致其未发现网站本身的诸多弱点或错误。此外，该公司也未针对使用者密码的复杂度进行要求。该公司的资料储存也未完全加密，或就算有加密，也没有妥善保管解密金钥，对于使用者的信用卡资料，也在网页服务器上保留超过所需的时间，综合诸多原因，都显示该公司根本并未采行基本的资安措施，才导致轻易遭攻击并导致使用者资料外泄，因而决定开罚。

为了协助资源较少的中小企业建立妥善的资安防护流程，该办公室出版了一系列参考资料与指导原则，协助中小企业为在规定更严格的新法上路前，提早进行内部检视与准备。