Заедно с кражбата на лични данни бяха откраднати и данни за разплащателни карти, като атаката засегна над 400 000 души. Глоба от 20, вместо 183 млн. паунда ще плати превозвачът British Airways.
Това реши независимият регулаторен орган по защита на личните данни във Великобритания Information Commissioner’s Office ( ICO – Комисариат по информацията). Производството започна преди две години, когато се оказа, че авиокомпанията е станала жертва на хакерска атака.
„Хората повериха личните си данни на BA и BA не са предприели адекватни мерки за да опазят тези данни“,
заявява комисарят по информацията Елизабет Денъм, допълвайки:
„Бездействието им е неприемливо и е засегнало стотици хиляди души и вероятно им е причинило известно безпокойство и стрес. Ето защо ние издадохме на BA глоба от 20 милиона британски лири – най-голямата до момента. Когато организациите вземат лоши решения относно личните данни на хората, това може да има реално въздействие върху живота им. Сега законът ни дава инструменти, с които да насърчаваме бизнеса да взема по-добри решения относно данните, включително да инвестира в съвременна система за сигурност.“
В своя защита от British Airways коментират:
„Алармирахме клиентите веднага щом разбрахме за престъпната атака срещу нашите системи през 2018 г. и съжаляваме, че не успяхме да задоволим очакванията на нашите клиенти.“
Компанията коментира и намалението на наложената им глоба.
„Радваме се, че ICO признава, че сме направили значителни подобрения в сигурността на нашите системи след атаката и че сме сътрудничили изцяло на разследването.“
Голямата хакерска атака над British Airways от 2018 година
Атаката е продължила две седмици – от 21-ви август до 5-ти септември. През това време онлайн клиентите на British Airways са били пренасочвани към фалшив сайт. Чрез него хакерите са успели да съберат личните данни на 429 612 души– клиенти и персонал на компанията. Откраднати са имена, адреси, номера на разплащателни карти, CVV номера (3 или 4-цифрен верификационен код на гърба на банковите карти), потребителски имена и пароли на акаунтите на служители и администратори на British Airways, потребителски имена и пароли на акаунти от Executive Club-а на компанията.
Британският оператор не е успял сам да засече атаката. Бил е уведомен за нея от трети страни.
Обстоятелства и глоба след проверката на Комисариата по информацията
Установено е, че превозвачът не е положил необходимата грижа за поддържане на актуална защита против хакерски атаки. Липсвала е система за многофакторно удостоверяване. Част от възможните по това време защити са били налични в използваната операционна система на Microsoft, но не са били активирани.
Заради инцидента с изтеклите лични данни, през 2019 г. Комисариатът по информацията във Великобритания обявява, че ще наложи глоба от 183 млн паунда на British Airways. Сумата представлява 1.5% от приходите на компанията за календарната 2018-та година. Още към края на следващата година обаче следва пандемията от COVID-19. Тя оказва значително влияние върху приходите на всички превозвачи и до днес. Комисариатът се съобразява с особената обстановка и смъква глобата от 183 до 20 милиона паунда. Макар да е 9 пъти по-ниска, спрямо първоначално обявената глоба, тя е най-високата, налагана до момента от Комисариата.
Хакерската атака и Регламента за защита на личните данни GDPR
Санкцията срещу British Airways е одобрена и от други агенции за защита на личните данни в Европейския съюз. С огромния си размер, тя е прецедент за производствата, свързани със защита на личните данни и прилагането на регламента GDPR. Припомняме, че през 2018-та година Великобритания все още е член на ЕС.
Британският въздушен оператор не е единствената жертва на хакерска атака в бизнес сферата. Други хакнати компании са EasyJet и Cathay Pacific. Последната бе глобена с 500 000 британски лири, заради изтичане на данните на 9.5 милиона души.
Атаката над Marriott е не просто една от най-мащабните хакерски атаки през 2019 година. Тя е изобщо най-голямата в света. От нея са засегнати 500 милиона души.
На фона на факта, че British Airways е една от компаниите, които предлагат интернет в самолетите си, надяваме се, че превозвачът е предприел най-добрите съвременни мерки за сигурност.