Sony accepteert megaboete wegens PSN-hack
Sony gaat niet in beroep tegen de boete van 300.000 euro die het kreeg opgelegd wegens het niet installeren van beveiligingsupdates waardoor aanvallers de gegevens van miljoenen gebruikers wisten buit te maken. Volgens de Britse Information Commissioner’s Office (ICO) had Sony de aanval kunnen voorkomen als de software die het gebruikte up-to-date was geweest.
"Als je voor zoveel creditcardgegevens en inloggegevens verantwoordelijk bent, hoort het beveiligen van die persoonlijke gegevens je prioriteit te hebben", zo liet David Smith, databeschermingsdirecteur van de ICO, in januari weten. Volgens Smith had Sony, zeker gezien de technische expertise die in het bedrijf aanwezig is, beter moeten weten.
Nu laat de ICO via Twitter weten dat Sony niet tegen de boete in beroep gaat, wat betekent dat het de 300.000 euro moet betalen en accepteert dat het nalatig is geweest in het beveiligen van de systemen.
Verder is de technische aard van het bedrijf geen factor. Elke IT manager weet dat het niet installeren van patches binnen een week leidt tot vele te misbruiken beveiligingsgaten. Daarnaast is het weer typisch dat het niet installeren van patches als reden gegeven wordt. Hoe zit het met de governance en de compliance processen? Waarom is het mogelijk dat software zonder behoorlijk patch management productie draait? Waarom heeft het management geen regels laten opstellen EN borgen om een minimaal kwaliteitsniveau te borgen zodat dergelijke misstanden niet kunnen ontstaan?
Blijkbaar is het een bedrijf zoals vele andere... Maak nou eens wettelijke regels om ervoor te zorgen dat niet alleen officieren van een bedrijf aansprakelijk zijn maar ook het middle management. Daar gaat het fout en daar ligt vaak ook het probleem. Men gaat er vanuit dat anderen (afdeling security) het wel regelen. Maar in de meeste bedrijven hebben die onvoldoende macht om behoorlijke beveiliging af te dwingen bij het ontwerp en de implementatie van IT oplossingen.
Maar ook de houding van IT security moet veranderen. Van een kan niet houding naar een kan wel als we het zo doen want dan is het veilig en betaalbaar. Probleem is weer dat je dan echte security experts nodig hebt die echt weten waar ze het over hebben en de gehele applicatie en infra security kunnen overzien. Slik dat betekent dat je echte professionals moet gaan inhuren en dat de organisatie eigenlijk moet gaan investeren in een echte security management methodiek. Van architectuur tot aan de decommisie van systemen aan toe. Tja dat kost tijd en geld. Veel meer dan die 250K dus tja komt Sony hier nog heel goedkoop weg weer...
Beveilig alles met DRM(-encryptie);
Sla customer data plain-text op.
£ 250.000 < £ 1.000.000.
Niks megaboete.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.