近日，受到網絡攻擊的英國中小企業被信息專員辦公室（ICO）罰款六萬英鎊。

ICO的調查發現，2014年曾有一起黑客攻擊事件，是因為Berkshire公司的Boomerang Video沒有采取基本措施來阻止網站遭到的攻擊。一個身份不明的攻擊者使用SQL注入（一個常見的黑客技術）訪問26331個客戶詳細信息，并導致26000人的個人信息被暴露。

ICO希望他們這種執法活動（pdf）能夠對其他中小企業起到警示作用，促使他們完善自己的安全政策，增強安全意識。

ICO的執行人Sally Anne Poole表示：“無論公司的規模如何，如果是處理個人信息的業務，那么都適用于數據保護法。如果我們發現一家公司遭受網絡攻擊，但是他們并沒有采取措施依法保護客戶的個人信息，那么他們就可能會受到ICO的罰款，新的”一般數據保護法“（GDPR）明年生效，到時候罰款可能會更高。”ICO調查發現，Boomerang Video未能在其網站定期進行滲透測試。此外，該公司未能確保其網站Wordpress部分的帳戶密碼足夠復雜。

Boomerang Video有一些未加密存儲的信息，因為它無法保證解密密鑰的安全，甚至可以訪問加密。最重要的是，加密的持卡人詳細信息和CVV代碼（信用卡安全代碼）保留在網絡服務器上超過必要時長。“Boomerang視頻似乎忽略了應該采取有力措施來防止這種情況發生。”ICO的Poole總結道。

最后，ICO表示將在2018年5月25日發布有助于企業實施GDPR的指導意見。