Hackul British Airways: de ce amenda record de 183 de milioane de lire sterline ar fi putut fi mult mai mare
Încălcarea datelor companiei aeriene a fost primul caz major conform noilor reguli GDPR
Pascal Pavani/AFP/Getty Images
British Airways a fost amendată cu 183 de milioane de lire sterline pentru o încălcare majoră a securității anul trecut - cea mai mare sancțiune dată vreodată de Biroul Comisarului pentru Informații (ICO) din Regatul Unit.
Compania aeriană spune că este surprinsă și dezamăgită de decizie și intenționează să facă recurs.
Dar experții subliniază că autoritatea de reglementare ar fi putut să-l pălmuiască pe BA cu o amendă în valoare totală de peste dublu, în conformitate cu Regulamentul general european privind protecția datelor (GDPR). Deci, care sunt noile reguli și de ce a fost acest caz atât de important?
Ce s-a întâmplat în hack-ul BA?
Pe 6 septembrie, compania aeriană a anunțat că datele personale și de plată ale zeci de mii de clienți au fost furate în timpul unei încălcări a datelor.
Detaliile cardurilor de plată, inclusiv numărul, data de expirare și codul de securitate din trei cifre sau „valoarea de verificare a cardului” (CVV) au fost extrase ilegal din sistemul de rezervări, relatează Independentul .
BA a spus că hackerii au efectuat un atac criminal sofisticat, rău intenționat, compromițând 382.000 de tranzacții efectuate pe site-ul și aplicația sa între 21 august și 5 septembrie. Poliția și autoritățile relevante au fost sesizate, a adăugat compania.
Cerându-și scuze persoanelor afectate, șefii BA au spus că încălcarea a fost rezolvată și că datele furate nu includ detalii de călătorie sau pașaport. Compania a început să contacteze clienții în momentul în care a fost descoperită încălcarea, a adăugat compania aeriană.
ICO a declarat săptămâna aceasta că utilizatorii site-ului au fost redirecționați către un site fraudulos, unde au fost culese detalii despre aproximativ 500.000 de persoane.
După anunțarea amenzii, președintele BA, Alex Cruz, a declarat luni: British Airways a răspuns rapid la un act criminal de furt de datele clienților. Nu am găsit nicio dovadă de fraudă/activitate frauduloasă pe conturile legate de furt.
Unde intervine GDPR?
Amenda BA este prima făcută publică în temeiul noilor reguli, care a intrat în vigoare în mai 2018, în cea mai mare zdruncinare a confidențialității datelor din ultimii 20 de ani, spune BBC .
Până acum, cea mai mare penalizare a fost de 500.000 de lire sterline, impusă Facebook pentru rolul său în scandalul datelor Cambridge Analytica. Acesta era maximul permis conform vechilor reguli de protecție a datelor care se aplicau înainte de GDPR, spune radiodifuzorul.
Noile reguli permit o pedeapsă maximă de 4% din cifra de afaceri a părții vinovate - care pentru BA s-ar fi ridicat la 488 de milioane de lire sterline. În schimb, sancțiunea aplicată se ridică la 1,5% din cifra de afaceri a companiei aeriene în 2017 și este considerabil mai mică decât maximul de 488 de milioane de lire sterline.
Cazul a atras un interes considerabil fiind primul de acest gen, după cum a remarcat jurnalista de securitate cibernetică Kate O’Flaherty într-un articol pentru Forbes septembrie trecut.
Ian Thornton-Trump, un veteran al industriei securității cibernetice, i-a spus lui O’Flaherty că ar fi o decizie grea pentru ICO. Toată lumea vrea ca GDPR să aibă dinți, așa că ICO trebuie să atingă echilibrul corect aici, a explicat el.
Încălcarea BA nu a fost la fel de rea ca și alte hack-uri recente, cum ar fi cea suferită Equifax în 2017 , iar amenda maximă ar putea împinge BA până la punctul de insolvență, a adăugat Thornton-Trump.
El a prezis o amendă în intervalul de la 5 la 10 milioane de lire sterline, adăugând: Este substanțial, dar nu pune compania în pericol și nu este „prea politic”.
Protestând împotriva amenzii de 183 de milioane de lire sterline anunțate în această săptămână, Willie Walsh, directorul executiv al International Consolidated Airlines Group (IAG), compania-mamă a BA, a declarat: Intenționăm să luăm toate măsurile adecvate pentru a apăra cu fermitate poziția companiei aeriene, inclusiv să facem orice apeluri necesare. .
