英国金融行为局(FCA)在上个月开始时宣布,它已罚款的Tesco Bank 16.4百万英镑用于两年前发生的网络攻击。

2016年11月,Tesco Bank的8,261名个人现有账户受到损害。攻击者获得了客户的借记卡详细信息,并输入了数千名未经授权的交易。

这是FCA在英国银行上施加的第一个与英国银行相关的网络攻击相关的罚款。罚款从2350万英镑的罚款中减少了2350万英镑的罚款,其中特易商银行同意在早期阶段定居,是合作的,并赔偿客户。

FCA的最终通知

FCA规定了其调查结果和执法行动 最终通知 2018年10月1日。

这项罚款是根据Tesco银行违反了FCA的第二个 经营原则,该公司必须以适当的技能,关怀和勤奋开展业务。

FCA执法总监标志管家评论说,FCA“不容忍未能保护客户免受可预见的风险”的宽容“。

FCA批评了Tesco Bank,称网络攻击是“很大程度上的避免”。 Tesco Bank的失败与适当的技能,关怀和勤奋开展业务:

  • 发出具有顺序卡号码的借记卡,这意味着黑客可以更容易地锻炼活动卡的详细信息;
  • 配置其授权系统以检查未来卡的到期日,而不是日期是正确的;
  • 采取行动阻止其信用卡的特定类型的欺诈交易,但借记卡未能为其进行操作;和
  • 没有响应足够的“严谨,技能和紧迫性”的攻击。这是因为Tesco Bank无效地联系其欺诈策略团队 - 违反程序,使用了一个错误的代码来阻止未经授权的交易,并无法监控规则的操作,因此请注意代码无法正常工作。

最终通知通过承认Tesco Bank的网络犯罪框架是合适的,但事实上,它是未能行使所需适当技能,关怀和勤奋的银行内的个人。

Tesco Bank已改变发行惯例,并不再使用顺序卡号码发布卡片。它还改变了其授权系统,现在检查到期日是否正确。

在GDPR和NIS法规的应用

这次攻击发生在欧盟一般数据保护规则2016/679(GDPR)和英国网络和信息系统规定2018年(NIS法规)之前生效。

尽管通过要求预防和通知网络攻击,但NIS法规就不适用于这种情况。

银行和金融市场基础设施部门在很大程度上豁免了现行的国家法规,即现有的英国法规已经存在并适用于网络攻击(根据第9次协奏曲和第1(7)条指令(欧盟)2016/1148() NIS指令)))。

根据特定公司的监管状况,FCA手册和国际金融市场基础设施的网络恢复委员会的指导委员会将载于特定公司的监管状况。

这些公司将继续遵守FCA和英格兰银行的执法和监督职能。

如果今天袭击再次发生,Tesco银行的行为可能会构成违反GDPR的行为。 GDPR第32条通过要求处理个人数据来实施技术和组织安全措施的组织来保护个人资料,以防止危害个人对数据保护和隐私的基本权利。

此外,在GDPR第25条中列出的“通过设计”的“数据保护”的概念需要这些安全措施嵌入到设计和架构级别的组织的结构中。在业务背景下,这将意味着Tesco Bank等技术依赖银行应在其核心银行平台的技术基础设施层中包含信息安全防御,而不是应用层的后来螺栓接通。

Tesco Bank的规模的网络攻击可能会侵犯这两个文章,尽管目前是未经测试的。

它也值得一提的是“默认数据保护”的概念,它与GDPR内的旁观设计概念相同。该概念要求组织确保包括数据保护作为任何业务风险评估中的一个因素。此概念的一个方面要求组织在其系统和应用程序的默认设置中采用“隐私第一方法”。

Tesco Bank对顺序卡号码发出卡片的练习,可能还可以巩固成本并提高欺诈预防检查速度的成本。

这些实践提供了一个很好的例子,隐私考虑应该以经营效率为准,这将导致Tesco违反GDPR的第25条,如果是申请。

评论

FCA的精致表明,通过适当的技能,关怀和勤奋进行经济监管的业务,现在延伸到其技术系统,保护其周围的保护以及员工如何实施它们。

在这种情况下,在这种情况下和最近的最近的IT失败的实例,这只是突出的,即FCA考虑技术是运行金融服务业务的内在方面,而不是仅仅是提高客户参与的工具。

因此,我们只预计英国监管机构的执法行动(无论是FCA还是ICO),在申请时会增加其失败和数据违规行为,以便在申请时削减更深层次的处罚。