British Airwaysin hakkerointi: miksi ennätyksellisen 183 miljoonan punnan sakko olisi voinut olla paljon suurempi
Lentoyhtiöiden tietomurto oli ensimmäinen suuri tapaus uusien GDPR-sääntöjen mukaan
Pascal Pavani/AFP/Getty Images
British Airwaysille on määrätty 183 miljoonan punnan sakko suuresta tietoturvaloukkauksesta viime vuonna – suurin sakko, jonka UK Information Commissioner’s Office (ICO) on koskaan maksanut.
Lentoyhtiö sanoo olevansa yllättynyt ja pettynyt päätöksestä ja aikoo valittaa asiasta.
Asiantuntijat huomauttavat kuitenkin, että sääntelijä olisi voinut lyödä BA:ta sakkolla, joka on yli kaksinkertainen summaan verrattuna Euroopan laajuisen yleisen tietosuoja-asetuksen (GDPR) mukaisesti. Mitkä ovat uudet säännöt ja miksi tämä tapaus oli niin merkittävä?
Mitä tapahtui BA-hakkerissa?
Lentoyhtiö ilmoitti 6. syyskuuta, että kymmenien tuhansien asiakkaiden henkilö- ja maksutiedot oli varastettu tietomurron yhteydessä.
Maksukorttien tiedot, mukaan lukien numero, viimeinen voimassaolopäivä ja kolminumeroinen turvakoodi tai 'kortin vahvistusarvo' (CVV), poimittiin laittomasti varausjärjestelmästä, raportoi. Itsenäinen .
BA kertoi, että hakkerit olivat suorittaneet hienostuneen, haitallisen rikollisen hyökkäyksen vaarantaen 382 000 tapahtumaa sen verkkosivustolla ja sovelluksessa 21. elokuuta ja 5. syyskuuta välisenä aikana. Poliisi ja toimivaltaiset viranomaiset olivat ilmoittaneet asiasta, yhtiö lisäsi.
BA:n pomot pyysivät anteeksi kärsineiltä ihmisiltä, että rikkomus oli ratkaistu ja että varastetut tiedot eivät sisältäneet matka- tai passitietoja. Lentoyhtiö lisäsi, että yhtiö oli alkanut ottaa yhteyttä asiakkaisiin sillä hetkellä, kun rikkomus havaittiin.
ICO sanoi tällä viikolla, että verkkosivuston käyttäjät oli ohjattu huijaussivustolle, jolta kerättiin tietoja noin 500 000 ihmisestä.
Sakon julkistamisen jälkeen BA:n puheenjohtaja Alex Cruz sanoi maanantaina: British Airways reagoi nopeasti rikolliseen tekoon asiakkaiden tietojen varastamiseksi. Emme ole löytäneet todisteita petoksesta/petollisesta toiminnasta varkauksiin liittyvillä tileillä.
Missä GDPR tulee sisään?
BA:n sakko on ensimmäinen, joka julkistetaan uusien sääntöjen nojalla, jotka tulivat voimaan toukokuussa 2018 suurimmassa tietosuojamuutoksessa 20 vuoteen. BBC .
Tähän asti suurin rangaistus oli 500 000 puntaa, joka määrättiin Facebookille sen roolista Cambridge Analytica -tietoskandaalissa. Se oli enimmäismäärä vanhojen, ennen GDPR:ää voimassa olleiden tietosuojasääntöjen mukaan, lähetystoiminnan harjoittaja sanoo.
Uudet säännöt sallivat enintään 4 prosentin sakon syyllisen liikevaihdosta, mikä BA:lle olisi ollut 488 miljoonaa puntaa. Sen sijaan rangaistus on 1,5 % sen lentoyhtiön liikevaihdosta vuonna 2017 ja on huomattavasti pienempi kuin 488 miljoonan punnan enimmäismäärä.
Tapaus on herättänyt suurta kiinnostusta ensimmäisenä laatuaan, kuten kyberturvallisuustoimittaja Kate O’Flaherty totesi artikkelissaan. Forbes viime syyskuussa.
Ian Thornton-Trump, kyberturvallisuusalan veteraani, kertoi O’Flahertylle, että se olisi vaikea päätös ICO:lle. Kaikki haluavat, että GDPR:llä on hampaat, joten ICO:n on löydettävä oikea tasapaino täällä, hän selitti.
BA-rikkomus ei ollut niin paha kuin jotkin muut viimeaikaiset hakkerit, kuten se, josta kärsi Equifax vuonna 2017 , ja enimmäissakko voi viedä BA:n maksukyvyttömyyteen, Thornton-Trump lisäsi.
Hän ennusti sakkoa 5–10 miljoonan punnan välillä ja lisäsi: Se on huomattava, mutta se ei vaaranna yritystä eikä ole 'liian poliittinen'.
BA:n emoyhtiön International Consolidated Airlines Groupin (IAG) toimitusjohtaja Willie Walsh protestoi tällä viikolla julkistettua 183 miljoonan punnan sakkoa vastaan: Aiomme ryhtyä kaikkiin tarvittaviin toimenpiteisiin puolustaaksemme lentoyhtiön asemaa voimakkaasti, mukaan lukien tarvittavien vetoomusten tekeminen. .
