英国信息专员办公室因勒索软件攻击致大量用户个人信息泄露对某公司处以96.39万英镑罚款

　　【预警资讯】

　　2026年5月7日，英国信息专员办公室（ICO）就某公司及其子公司在网络攻击事件中违反英国通用数据保护条例（UK GDPR）第5条第1款f项（完整性与保密性原则）和第32条第1款（适当技术与组织措施义务）作出处罚决定，处以96.39万英镑行政罚款（£963,900），同时与其签署自愿和解协议。本次处罚源于一起勒索软件组织实施的重大网络攻击事件。ICO调查认定以下核心安全缺陷：一是初始入侵后权限横向扩展控制失当；二是监控覆盖严重不足；三是存在未修复的安全漏洞。上述缺陷共同导致633,887名客户和员工（含部分弱势服务群体）的个人数据被攻击者提取并发布于暗网，包括姓名、地址、银行账户信息等高敏感度数据。（资讯分类：境外，信息传输、软件和信息技术服务业，数据和隐私保护；资讯来源：英国信息专员办公室官方网站）

　　【要点提示】

　　建议在英国及欧洲市场运营的企业关注以下要点：一是网络安全监控覆盖率是ICO重点核查项目之一（本案中仅5%的IT环境处于监控之下被作为重大违规情节），企业宜将全量IT资产纳入统一监控视野，尤其应覆盖工业控制系统、远程访问通道、权限账户行为和异常数据流量，确保任何阶段性入侵均可被及时发现；二是漏洞修复（Patching）管理和旧系统退役须纳入常规合规管理（使用已停止官方支持的软件版本被认定为合规义务缺失），可建立资产生命周期管理制度，强制规定系统升级和EOL（End-of-Life）软件的退役时间表；三是在英国运营涉及大量个人数据的企业（包括能源、基础设施、零售和科技企业）可定期开展网络安全独立审计，并将审计结果留存备查，以便在ICO调查中举证说明企业已采取合理安全保障措施。

　　2026年6月11日  第161期