英国金融行为监管局(FCA)于上个月初宣布,由于两年前发生的一次网络攻击,已对Tesco银行处以1,640万英镑的罚款。

2016年11月,特易购银行的8,261个个人往来账户被盗。攻击者获得了客户的借记卡详细信息,并进行了数千次未经授权的交易。

这是FCA首次对英国银行实施的与网络攻击有关的罚款。由于乐购银行同意尽早达成和解,进行合作并补偿客户,因此从最初的罚款草案2350万英镑中减少了罚款。

FCA的最终通知

FCA在其调查结果中列出了调查结果和执行措施 最终通知 日期为2018年10月1日。

罚款的依据是,乐购银行违反了FCA的第二条规定 经营原则,这规定公司必须以适当的技巧,谨慎和勤奋来开展业务。

FCA执法总监Mark Steward表示,FCA“对无法保护客户免受可预见风险的银行不容忍”。

FCA批评Tesco银行,称网络攻击“在很大程度上可以避免”。乐购银行未能以应有的技巧,谨慎和勤奋开展业务的原因包括:

  • 发行具有连续卡号的借记卡,这意味着黑客可以更轻松地计算出活动卡的详细信息;
  • 将其授权系统配置为仅检查卡的到期日期,而不检查日期是否正确;
  • 采取措施阻止其信用卡的特定类型的欺诈交易,但未对其借记卡进行相同的操作;和
  • 对攻击没有足够的“严谨,技巧和紧迫性”做出回应。这是因为Tesco银行无效地与其欺诈策略小组联系,这与程序相反,使用了错误的代码来阻止未经授权的交易,并且未能监控规则的运行,因此注意到该代码无法正常工作。

最终通知以承认乐购银行(Tesco Bank)的网络犯罪框架为适当的结论而告终,但实际上,银行中的个人未能行使所需的适当技能,谨慎和勤奋。

此后,乐购银行已改变了发行方式,不再发行具有连续卡号的卡。它还更改了其授权系统,现在检查有效期是否正确。

适用GDPR和NIS法规

该攻击发生在欧盟通用数据保护条例2016/679(GDPR)和英国网络和信息系统条例2018(NIS条例)生效之前。

尽管通过要求预防和通知网络攻击的观点是正确的,但是在这种情况下,NIS规则不会适用。

银行和金融市场基础设施行业在很大程度上已经不受NIS法规的限制,因为现有的和等同的英国法规已经存在并适用于网络攻击(根据指令9和第1(7)指令(EU)2016/1148( NIS指令))。

根据特定公司的监管状况,等效的规定将包含在FCA手册和支付与市场基础设施委员会关于金融市场基础设施的网络弹性的指南中。

这些公司将继续受到FCA和英格兰银行的执法和监督职能的约束。

如果今天再次发生这种袭击,则乐购银行的行为很可能构成违反GDPR的行为。 GDPR第32条通过要求处理个人数据的组织实施技术和组织安全措施以防止损害个人的数据保护和隐私基本权利来涵盖信息安全。

此外,GDPR第25条规定了“按设计进行数据保护”的概念,要求将这些安全措施嵌入到设计和体系结构级别的组织结构中。在业务环境中,这意味着像Tesco Bank这样的技术上依赖的银行应该在其核心银行平台的技术基础架构层中纳入信息安全防御措施,而不是在以后的应用层中加入信息安全防护措施。

乐购银行规模的网络攻击很可能侵犯这两篇文章,尽管目前尚未经过测试。

还值得一提的是“默认情况下的数据保护”的概念,它与GDPR中的按设计概念并列。此概念要求组织确保将数据保护作为任何业务风险评估中的一个因素包括在内。这一概念的一个方面要求组织在其系统和应用程序的默认设置中采用“隐私至上的方法”。

乐购银行(Tesco Bank)的做法是采用顺序编号的卡发行卡,并且没有充分检查卡的有效期,以节省成本并提高防欺诈检查的速度。

这些做法提供了一个很好的示例,说明隐私考虑应优先于业务效率,如果适用的话,这将导致Tesco违反GDPR第25条。

评论

FCA的罚款表明,以适当的技能,谨慎和勤奋开展财务受监管的业务,现在已扩展到其技术系统,对它们的保护以及员工如何实施它们。

鉴于这种情况下的罚款水平以及最近的其他高街银行IT失败的例子,这仅凸显了FCA认为技术是经营金融服务业务的内在方面,而不仅仅是增加客户参与度的工具。

因此,我们只希望英国监管机构(无论是FCA还是ICO)对IT故障和数据泄露采取的执法措施会增加,并且在适用时会加大处罚力度。