280 kunder i löneräkningen
Den brittiska programvarugruppen Sage har meddelat 280 av sina kunder att ett dataintrång kan ha äventyrat deras anställdas personuppgifter och bankinformation.
Den 12 augusti meddelade den Newcastle-baserade leverantören av programvara för redovisning och löneadministration 280 av sina brittiska kunder om intrånget. Företaget publicerade sedan ett uttalande om incidenten på sin hemsida den 13 augusti:
"Vi tror att ett litet antal av våra brittiska kunder har fått obehörig åtkomst till sina uppgifter med hjälp av en intern inloggning, så vi har ett nära samarbete med myndigheterna för att utreda situationen. Våra kunder är alltid vår första prioritet så vi kommunicerar direkt med dem som kan vara berörda och ger vägledning om åtgärder de kan vidta för att skydda sin säkerhet."
Sage har inte lämnat några ytterligare uppgifter om händelsen. En person som känner till intrånget har dock berättat för Financial Times att någon använde en Sage-anställds kontouppgifter för att komma åt känsliga uppgifter, vilket fick företaget att inleda en utredning.
I skrivande stund är det oklart om de ansvariga för intrånget var anställda eller externa aktörer som stal inloggningsuppgifterna.
Löneprogramföretaget berättade om händelsen för polisen i City of London under helgen. Polisen utreder dataintrånget tillsammans med Information Commissioner's Office, som sade att de arbetar för att avgöra om de kan vidta straffrättsliga åtgärder mot Sage för eventuella brister i informationssäkerheten.
Enligt International Business Times:
"Lagen kräver att organisationer har lämpliga åtgärder för att skydda människors personuppgifter. Om det finns en antydan om att detta inte har skett kan ICO utreda detta och vid behov genomföra åtgärder."
Eduard Meelhuysen, vice president EMEA för Netskope, sa till SCMagazine att intrånget borde fungera som en påminnelse för företag att införa skydd mot insiderhot:
"Dataskyddet hos Sage är en kraftfull påminnelse om att även om många företag försöker skydda sina data från yttre hot, är den obekväma sanningen att en betydande risk ofta kommer inifrån. Oavsett om det handlar om verkliga mänskliga misstag, komprometterade kontouppgifter, illvilliga insiders eller bristande medvetenhet om IT-regler och hur man skyddar företagets data, måste insideraspekten ingå i den bredare säkerhetsstrategin tillsammans med externa hot."
Ett sätt att skydda sig mot den typen av attacker är att tala med Metacompliance, en leverantör av programvara för eLearning-policy och hantering av efterlevnad, som bland annat hjälper företag att lära sina anställda att hålla utkik efter potentiellt skadligt beteende bland sina medarbetare.
För mer information om hur Metacompliances lösningar kan hjälpa till att skydda ditt företag mot insiderhot, klicka här.