רשות הגנת המידע הבריטית (ICO) הטילה לאחרונה (19.07.2019) קנס בגובה 80,000 ליש"ט על סוכנות נדל"ן לונדונית (Life at Parliament View Ltd' – LPVL'), וזאת בעקבות הותרת מידע אישי אודות 18,610 לקוחותיה באופן חשוף, ללא הגנה ראויה ולתקופה של כמעט שנתיים.
אירוע אבטחת המידע התרחש כאשר סוכנות LPVL העבירה מידע אישי מתוך שרתיה לארגון אחר אשר עובד עמה בשיתוף פעולה. במסגרת העברת המידע, LPLV לא סגרה את פונקציית ה- 'אימות האנונימי'. פעולה זו פירושה שמגבלות הגישה למידע לא יושמו, וכך למעשה אפשרו לכל גולש ברשת לקבל גישה מלאה לכל המידע המאוחסן בשרתי הסוכנות, וזאת בין התאריכים מרץ 2015 ועד פברואר 2017.
המידע האישי שנחשף כלל, בין היתר, דפי חשבון בנק, פרטי שכר, עותקים של דרכונים, תאריכי לידה וכתובות של שוכרים ובעלי נכסים כאחד.
במהלך החקירה, נחשפו טעויות חמורות בהיבטי אבטחת המידע המצוי בשרתיה של הסוכנות, ובתוך כך קבעה ה-ICO כי הסוכנות לא הצליחה לנקוט בצעדים טכניים וארגוניים ראויים כנגד פעולות עיבוד בלתי חוקי של מידע אישי. בנוסף, LPVL הודיעה ל-ICO על האירוע רק לאחר שהאקר יצר עמה קשר.
ה-ICO הגיעה למסקנה כי מדובר בהפרה חמורה המנוגדת לחוקי הגנת המידע האירופאיים משנת 1998 (1998 data protection laws), אשר הוחלפו מאז בתקנות הגנת המידע האירופאיות (GDPR) וכן חוק הגנת המידע 2018 (Data Protection Act 2018).
"ללקוחות יש את הזכות לציפייה סבירה כי המידע האישי שהם מספקים לחברות יישמר בצורה מאובטחת, אך זה לא המקרה כאן. כאשר חשפנו את המסקנות, מצאנו כי LPVL לא הצליחה להכשיר את הצוות שלה כנדרש, השתמשו במערכת העברת קבצים שאינה מאובטחת, ואף לא הצליחו לפקח על כך. חסרונות אלה הותירו את לקוחות הסוכנות חשופים לסיכון האפשרי בדבר 'הונאת זהות'. על חברות לקבל את העובדה כי יש להן חובה חוקית להגן ולשמור על אבטחת המידע האישי שעליו הינם מופקדים", מסר סטיב אקרסליי, מנהל חקירות ב-ICO.
