El año 2011, con toda la vorágine de ataques de Anonymous o LulzSec, fueron muchas las empresas que tomaron conciencia de lo vulnerables que podían ser sus sistemas de información y vieron la importancia de dedicar tiempo y recursos a la mejora de la seguridad de sistemas e infraestructuras. Uno de los ataques más sonados del año 2011 fue, sin duda alguna, el de PlayStation Network; un caso en el que 77 millones de cuentas de usuario se vieron expuestas (datos bancarios incluidos) y el sitio quedó fuera de servicio durante semanas, sonrojando a Sony y, por ejemplo, haciéndola declarar ante el Congreso de Estados Unidos. Pasados casi 2 años desde el incidente, comienzan a materializarse algunas de las acciones que tomaron los gobiernos de muchos países al ver cómo eran expuestos los datos de sus ciudadanos y, en el día de hoy, se ha hecho pública la sanción que ha impuesto Reino Unido a Sony; una sanción que asciende a 250.000 libras.
El Gobierno de Reino Unido ha multado a Sony con 250.000 libras por haberse visto expuestos los datos personales de los usuarios del servicio, una cantidad equivalente a casi 400.000 dólares o, lo que es lo mismo, aproximadamente 300.000 euros. La sanción se fundamenta en la gravedad del suceso puesto que los nombres, direcciones postales, correos electrónicos, fechas de nacimiento, contraseñas y datos bancarios de unos 77 millones de usuarios se vieron expuestos provocando un grave perjuicio para los usuarios.
Para las autoridades de Reino Unido, este hecho vulnera el acta de Protección de Datos del país porque consideran que la compañía japonesa fue negligente en su obligación de custodia de los datos puesto que los sistemas eran vulnerables y no pusieron el cuidado adecuado para mantener seguras sus infraestructuras.
Según David Smith, comisionado y director de protección de datos del Information Commisioner’s Office (ICO)
No hay lugar a dudas que este es un negocio deberían conocer mejor. Estamos hablando de una compañía cuyo valor comercial se basa en su experiencia técnica y, sin duda alguna, contaban con el conocimiento y los recursos suficientes como para mantener a salvo la información de carácter personal de los usuarios. [...] El ataque se podía haber evitado si el software se hubiese mantenido actualizado, además las investigaciones han arrojado que el sistema de contraseñas tampoco era seguro
Si bien el ICO reconoce que Sony fue víctima de un ataque organizado y premeditado y que la información sustraída, aparentemente, no llegó a utilizarse se concluye que la dejadez de Sony es la causante de todo lo acontecido y les han aplicado una pena proporcional al número de usuarios afectados.
Sony tiene hasta el próximo 13 de febrero para pagar la multa y obtener un descuento del 20% por pronto pago pero también tiene la opción de apelar y, por lo que ha comentado un responsable de Sony, tienen intención de apelar la decisión porque no están de acuerdo con las conclusiones del informe del ICO británico.