Ile kosztuje słabe zabezpieczenie danych klientów?

Brytyjski przewoźnik przekonał się ile może kosztować wyciek danych klientów. Kara nałożona przez brytyjskie biuro ds. danych osobowych (ICO) opiewa na miliony funtów.

British Airways stoi w obliczu rekordowej grzywny za wyciek danych, który miał miejsce w 2018 roku - informuje BBC. Hakerzy za pośrednictwem podrobionej strony internetowej przewoźnika oraz aplikacji mobilnej wyłudzili dane około pół miliona pasażerów.

Do cyberataku na system British Airways doszło dokładnie pomiędzy 21 sierpnia a 5 września 2018 r. Szeroko zakrojone dochodzenie wykazało, że oszuści wyłudzili imiona i nazwiska, adresy e-mail oraz dane kart kredytowych wraz z kodami bezpieczeństwa CVV, za co brytyjskie biuro ICA nałożyło karę w wysokości 183 milionów funtów.

Kara nałożona na przewoźnika jest tak duża, ponieważ obsługiwał on bezpośrednio płatności kartami kredytowymi i nie zabezpieczył odpowiednio tej komunikacji. Skrypt, który wykradał dane klientów został zainstalowany na serwerze przewoźnika 21 sierpnia 2018 roku i był nie wykryty przez 2 tygodnie zbierając dane. To bardzo poważne naruszenie i fakt, że było ono długo nie wykryte sugeruje, że polityka bezpieczeństwa BA jest beznadziejna (do obsługi kart płatniczych należy spełniać określone wymogi bezpieczeństwa, które przewidują m. in. regularne skany bezpieczeństwa). Chcących poczytać o aspektach technicznych: zaufanatrzeciastrona.pl

Linia lotnicza, której właścicielem jest IAG, twierdzi, że jest "zaskoczona i rozczarowana" tak wysoką karą. 183 mln funtów to 1,5 proc. globalnych obrotów British Airways w 2017 r. Maksymalna przewidywana przez RODO kara to 4 proc. przychodów firmy.

ICO przyznaje, że nałożona na przewoźnika kara jest najwyższa w historii organizacji, lecz tłumaczy swoje stanowisko słabymi zabezpieczeniami firmy. Kara jest też pierwszą, którą podano do publicznej wiadomości po wprowadzeniu w Unii Europejskiej Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO).

"Dane osobowe ludzi są po prostu osobiste" - powiedziała komisarz ds. Informacji Elizabeth Denham. "Gdy organizacja nie chroni ich przed utratą, uszkodzeniem lub kradzieżą, jest to więcej niż niedogodność. Prawo jest jasne, gdy powierza się ci dane osobowe, musisz się nimi zająć i je zabezpieczyć."

Przewoźnik ma 28 dni na odwołanie się od kary. Alex Cruz, prezes i dyrektor generalny British Airways zapowiedział, że odwołanie zostanie złożone i przeprosił klientów za wszelkie niedogodności spowodowane cyberatakiem.