280 kunder af lønningsliste
Den britiske softwarekoncern Sage har meddelt 280 af sine kunder, at et databrud kan have kompromitteret deres medarbejderes personlige oplysninger og bankoplysninger.
Den 12. august underrettede Newcastle-leverandøren af software til regnskabs- og lønadministrationssoftware 280 af sine britiske kunder om bruddet. Virksomheden offentliggjorde derefter en erklæring om hændelsen på sin hjemmeside den 13. august:
"Vi mener, at der er sket uautoriseret adgang ved hjælp af et internt login til dataene for et lille antal af vores britiske kunder, så vi arbejder tæt sammen med myndighederne for at undersøge situationen. Vores kunder er altid vores førsteprioritet, så vi kommunikerer direkte med dem, der kan være berørt, og giver vejledning om de foranstaltninger, de kan træffe for at beskytte deres sikkerhed."
Sage har ikke givet flere oplysninger om hændelsen. En person med kendskab til bruddet har dog fortalt Financial Times, at en person har brugt en Sage-medarbejders kontooplysninger til at få adgang til følsomme data, hvilket fik virksomheden til at iværksætte en undersøgelse.
I skrivende stund er det uklart, om de(n) ansvarlige for bruddet var ansatte eller eksterne aktører, der stjal loginoplysningerne.
Lønsoftwarefirmaet fortalte City of London-politiet om hændelsen i weekenden. Politiet undersøger databruddet sammen med Information Commissioner's Office, som sagde, at det arbejder på at afgøre, om det kan indlede straffesager mod Sage for eventuelle mangler i informationssikkerheden.
Som citeret af International Business Times:
"Loven kræver, at organisationer skal have passende foranstaltninger på plads for at sikre folks personlige data. Hvis der er en antydning af, at dette ikke er sket, kan ICO undersøge og om nødvendigt håndhæve reglerne."
Eduard Meelhuysen, vice president EMEA for Netskope, fortalte SCMagazine, at bruddet bør tjene som en påmindelse til virksomheder om at implementere beskyttelse mod insidertrusler:
"Databruddet hos Sage er en kraftig påmindelse om, at selv om mange virksomheder forsøger at beskytte deres data mod trusler udefra, er den ubehagelige sandhed, at en væsentlig risiko ofte kommer indefra. Uanset om der er tale om ægte menneskelige fejl, kompromitterede kontooplysninger, ondsindede insidere eller manglende bevidsthed om it-regler og om, hvordan man hjælper med at beskytte virksomhedens data, skal insiderelementet indgå i den bredere sikkerhedsstrategi sammen med eksterne trusler."
En måde, hvorpå de kan beskytte sig mod disse typer angreb, er ved at tale med Metacompliance, en leverandør af eLearning-politik- og compliance management-software, som bl.a. hjælper virksomheder med at lære deres medarbejdere at være på vagt over for potentielt skadelig adfærd blandt deres kolleger.
Klik her for at få flere oplysninger om, hvordan Metacompliance's løsninger kan hjælpe med at beskytte din virksomhed mod insidertrusler.
