Vdor v British Airways: zakaj bi rekordna kazen v višini 183 milijonov funtov lahko bila veliko večja
Kršitev podatkov letalske družbe je bil prvi večji primer po novih pravilih GDPR
Pascal Pavani/AFP/Getty Images
British Airways je bila lani kaznovana s 183 milijoni funtov zaradi velike kršitve varnosti, kar je največja kazen, ki jo je kdaj izrekel urad britanskega informacijskega komisarja (ICO).
Letalska družba pravi, da je nad odločitvijo presenečena in razočarana ter se namerava pritožiti.
Strokovnjaki pa poudarjajo, da bi lahko regulator v skladu s splošno evropsko uredbo o varstvu podatkov (GDPR) BA naložil globo, ki bi znašala več kot dvakrat več. Kakšna so torej nova pravila in zakaj je bil ta primer tako pomemben?
Kaj se je zgodilo pri hacku BA?
Letalska družba je 6. septembra objavila, da so bili osebni in plačilni podatki več deset tisoč strank ukradeni med vdorom podatkov.
Podrobnosti o plačilnih karticah, vključno s številko, datumom poteka veljavnosti in trimestno varnostno kodo ali 'vrednostjo preverjanja kartice' (CVV), so bile nezakonito izvlečene iz rezervacijskega sistema, poroča The Independent .
BA je povedala, da so hekerji izvedli prefinjen, zlonamerni kriminalni napad, s katerim so ogrozili 382.000 transakcij, izvedenih na njenem spletnem mestu in v aplikaciji med 21. avgustom in 5. septembrom. Obveščeni so bili policija in pristojni organi, dodajajo v podjetju.
Ob opravičilu prizadetim so šefi BA povedali, da je bila kršitev odpravljena in da ukradeni podatki ne vključujejo podatkov o potovanju ali potnem listu. Podjetje je začelo vzpostaviti stik s strankami v trenutku, ko je bila odkrita kršitev, je dodala letalska družba.
ICO je ta teden povedal, da so bili uporabniki spletnega mesta preusmerjeni na goljufivo spletno mesto, kjer so bili zbrani podatki o približno 500.000 ljudeh.
Po objavi globe je predsednik BA Alex Cruz v ponedeljek dejal: British Airways se je hitro odzval na kaznivo dejanje kraje podatkov strank. Na računih, povezanih s krajo, nismo našli nobenih dokazov o goljufiji.
Kje pride GDPR?
Kazen BA je prva, ki je bila objavljena v skladu z novimi pravili, ki so začela veljati maja 2018 kot največji pretres zasebnosti podatkov v 20 letih, pravi BBC .
Do zdaj je bila največja kazen 500.000 funtov, naložena Facebooku zaradi njegove vloge v podatkovnem škandalu Cambridge Analytica. To je bilo največje dovoljeno po starih pravilih o varstvu podatkov, ki so veljala pred GDPR, pravi izdajatelj.
Nova pravila dovoljujejo najvišjo kazen v višini 4 % prometa krivca - kar bi za BA znašalo 488 milijonov funtov. Namesto tega naložena kazen znaša 1,5 % prometa letalske družbe v letu 2017 in je precej nižja od največjega zneska 488 milijonov funtov.
Primer je kot prvi te vrste pritegnil veliko zanimanja, kot je v članku za kibernetsko varnost zapisala Kate O'Flaherty. Forbes lanskega septembra.
Ian Thornton-Trump, veteran industrije kibernetske varnosti, je O'Flahertyju povedal, da bi bila to težka odločitev za ICO. Vsi želijo, da ima GDPR zobe, zato mora ICO tukaj vzpostaviti pravo ravnovesje, je pojasnil.
Kršitev BA ni bila tako huda kot nekateri drugi nedavni vdori, kot je ta Equifax leta 2017 , najvišja globa pa bi lahko BA potisnila do točke insolventnosti, je dodal Thornton-Trump.
Napovedal je globo v razponu od 5 do 10 milijonov funtov in dodal: To je precejšnje, vendar ne ogroža podjetja in ni 'preveč politično'.
Willie Walsh, glavni izvršni direktor International Consolidated Airlines Group (IAG), matične družbe BA, je protestiral proti globi v višini 183 milijonov funtov, ki je bila napovedana ta teden, je dejal: Nameravamo sprejeti vse ustrezne ukrepe za odločno obrambo stališča letalske družbe, vključno z vsemi potrebnimi pritožbami. .
