近日，受到网络攻击的英国中小企业被信息专员办公室（ICO）罚款六万英镑。

ICO的调查发现，2014年曾有一起黑客攻击事件，是因为Berkshire公司的Boomerang Video没有采取基本措施来阻止网站遭到的攻击。一个身份不明的攻击者使用SQL注入（一个常见的黑客技术）访问26331个客户详细信息，并导致26000人的个人信息被暴露。

ICO希望他们这种执法活动（pdf）能够对其他中小企业起到警示作用，促使他们完善自己的安全政策，增强安全意识。

ICO的执行人Sally Anne Poole表示：“无论公司的规模如何，如果是处理个人信息的业务，那么都适用于数据保护法。如果我们发现一家公司遭受网络攻击，但是他们并没有采取措施依法保护客户的个人信息，那么他们就可能会受到ICO的罚款，新的”一般数据保护法“（GDPR）明年生效，到时候罚款可能会更高。”ICO调查发现，Boomerang Video未能在其网站定期进行渗透测试。此外，该公司未能确保其网站Wordpress部分的帐户密码足够复杂。

Boomerang Video有一些未加密存储的信息，因为它无法保证解密密钥的安全，甚至可以访问加密。最重要的是，加密的持卡人详细信息和CVV代码（信用卡安全代码）保留在网络服务器上超过必要时长。“Boomerang视频似乎忽略了应该采取有力措施来防止这种情况发生。”ICO的Poole总结道。

最后，ICO表示将在2018年5月25日发布有助于企业实施GDPR的指导意见。

【中国IDC圈编译原创，转载请注明出处】