Noll
Tesco Bank har bötfällts över £16 miljoner för fel som accepteras cyber angripare att stjäla £2.26 m från kunder i en hacka händelse som inträffade över 48 timmar i November 2016.
Banking regulatory body Financial Conduct Authority sa att Tesco Bank misslyckats med att “visa vederbörlig skicklighet, aktsamhet och omsorg” för att skydda nuvarande kontoinnehavare mot en cyberattack som var “i stort sett onödig”.
Angriparna mest sannolikt används en algoritm som genereras äkta Tesco Bank betalkort nummer och, med hjälp av de virtuella kort, de engagerade sig i tusentals obehörig betalkort transaktioner, KONKURRENSVERKET sagt.
Över £2 miljoner stals från konton med 9000 kunder och totalt 40 000 konton äventyras. Efter att ha upptäckt attacken, Tesco Bank tillfälligt frös online-transaktioner av alla dess 136,000 kontoinnehavare, som lämnar vissa kunder utan möjlighet att betala sina räkningar.
Hackare kunde utföra attacken genom att utnyttja säkerhetshål i Tesco Bank design av sina betalkort, dess ekonomiska brottsligheten kontroller och Ekonomisk Brottslighet Operations-Teamet.
Dessa fel ingår hur dess bankkort var inte designade för kontaktlösa transaktioner men kan fortfarande användas för dem, och hur Tesco Bank s system för tillstånd endast att kontrollera om den betalkort löpt ut på datum i framtiden, i motsats till en exakt dag.
SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)
Princip 2 av KONKURRENSVERKET s handbok anger att ett företag måste driva sin verksamhet med vederbörlig skicklighet, aktsamhet och omsorg och den utredning som Tesco Bank underlåtit att följa denna princip eftersom den inte att skydda sina kunder från att den ekonomiska brottsligheten.
KONKURRENSVERKET fann också att Tesco Bank misslyckats med att svara på cyber attack med tillräcklig noggrannhet, skicklighet och brådskande de är” genom att inte följa skriftliga rutiner för att bemöta attacken och felaktigt följande regler.
Som ett resultat, har Myndigheten infört en £16.4 m fin på Tesco Bank — bankens samarbete med KONKURRENSVERKET resulterade i detta straff sänktes från £33.
“Den fina KONKURRENSVERKET som ställs på Tesco Bank idag speglar det faktum att KONKURRENSVERKET har ingen tolerans för banker som inte klarar av att skydda kunder från förutsebara risker”, sa Mark Förvaltare, verkställande direktör för tillsyn och marknaden tillsyn på KONKURRENSVERKET.
“I detta fall, attacken var en mycket specifik varning som Tesco Bank inte korrekt adress tills efter attacken började. Detta var för lite, för sent. Kunder bör inte ha varit utsatt för en risk vid alla”.
SE: 10 sätt att öka användarnas it-säkerhet IQ (gratis PDF)
Tesco Bank har accepterat den fina och har återigen bett om ursäkt till sina kunder.
“Vi är mycket ledsna för de konsekvenser som detta bedrägeri attacken hade på våra kunder. Vår prioritet är alltid säkerheten för våra kunders konton och vi fullt ut accepterar KONKURRENSVERKET varsel, säger Gerry Mallon, Tesco Bank verkställande.
“Vi har kraftigt ökat våra säkerhetsåtgärder för att säkerställa att våra kunders konton som har den högsta nivån av skydd. Jag ber om ursäkt till våra kunder för de problem som uppstår i och med 2016.”
En Tesco Bank talesperson skulle inte ge någon ytterligare information om exakt vilka ytterligare skyddsåtgärder har genomförts.
Kunder som drabbats av attacken var ersättning för sina förluster och vissa fått ersättning för de olägenheter. Medan angriparna lyckades göra av med en stor summa pengar, inga personliga data var nedsatt som en följd av attacken.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
It-säkerhet: Din chef inte bryr sig och det är inte OK längreEquifax bara tog ännu en hit från 2017 hacka CNETCyber hot intelligence mot business risk intelligence: Vad du behöver vetaUppgifter om efterlevnad och säkerhet strategi i en post-GDPR världen TechRepublicDetta malware döljer sig som bank security raid ditt konto
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0