„British Airways“ įsilaužimas: kodėl rekordinė 183 mln. svarų sterlingų bauda galėjo būti daug didesnė
Oro linijų duomenų pažeidimas buvo pirmasis didelis atvejis pagal naujas GDPR taisykles
Pascalis Pavani/AFP/Getty Images
„British Airways“ buvo nubausta 183 mln. svarų sterlingų bauda už didelį saugumo pažeidimą praėjusiais metais – tai didžiausia bausmė, kurią kada nors skyrė JK informacijos komisaro biuras (ICO).
Aviakompanija teigia esanti nustebusi ir nusivylusi tokiu sprendimu ir planuoja apskųsti.
Tačiau ekspertai pažymi, kad pagal Europos Bendrąjį duomenų apsaugos reglamentą (BDAR) reguliuotojas galėjo skirti BA baudą daugiau nei dvigubai didesne suma. Taigi, kokios yra naujos taisyklės ir kodėl šis atvejis buvo toks reikšmingas?
Kas atsitiko per BA įsilaužimą?
Rugsėjo 6 d. aviakompanija paskelbė, kad per duomenų pažeidimą buvo pavogti dešimčių tūkstančių klientų asmens ir mokėjimo duomenys.
Mokėjimo kortelių duomenys, įskaitant numerį, galiojimo datą ir triženklį apsaugos kodą arba „kortelės patvirtinimo vertę“ (CVV), buvo neteisėtai išgauta iš rezervavimo sistemos, praneša. „The Independent“. .
BA pranešė, kad įsilaužėliai įvykdė sudėtingą, piktavališką nusikalstamą ataką, pakenkdami 382 000 operacijų, įvykdytų jos svetainėje ir programėlėje nuo rugpjūčio 21 d. iki rugsėjo 5 d. Bendrovė pridūrė, kad apie tai pranešta policijai ir atitinkamoms institucijoms.
Atsiprašydami nukentėjusių žmonių, BA vadovai teigė, kad pažeidimas buvo pašalintas ir kad pavogtuose duomenyse nebuvo kelionės ar paso duomenų. Aviakompanija pridūrė, kad bendrovė pradėjo susisiekti su klientais tą akimirką, kai buvo aptiktas pažeidimas.
Šią savaitę ICO pranešė, kad svetainės vartotojai buvo nukreipti į apgaulingą svetainę, kurioje buvo surinkta informacija apie maždaug 500 000 žmonių.
Paskelbus baudą, BA pirmininkas Alexas Cruzas pirmadienį pareiškė: „British Airways“ greitai sureagavo į nusikalstamą veiką, kuria pavogė klientų duomenis. Neradome jokių sukčiavimo / nesąžiningos veiklos įrodymų, susijusių su vagyste.
Kur atsiranda GDPR?
BA bauda yra pirmoji, paskelbta viešai pagal naujas taisykles, kurios įsigaliojo 2018 m. gegužę dėl didžiausio duomenų privatumo sukrėtimo per 20 metų, sakoma. BBC .
Iki šiol didžiausia bauda buvo 500 000 svarų sterlingų, skirta „Facebook“ už vaidmenį „Cambridge Analytica“ duomenų skandale. Tai buvo didžiausias leistinas dydis pagal senąsias duomenų apsaugos taisykles, galiojusias iki BDAR, teigia transliuotojas.
Naujosios taisyklės leidžia skirti maksimalią 4% baudą nuo kaltosios šalies apyvartos, kuri BA būtų siekusi 488 mln. Vietoj to, paskirta bauda sudaro 1,5% jos aviakompanijos apyvartos 2017 m. ir yra gerokai mažesnė už maksimalią 488 mln.
Ši byla sulaukė didelio susidomėjimo kaip pirmoji tokio pobūdžio byla, kaip pažymėjo kibernetinio saugumo žurnalistė Kate O’Flaherty straipsnyje, skirtame. Forbes praėjusį rugsėjį.
Ianas Thorntonas-Trumpas, kibernetinio saugumo pramonės veteranas, sakė O'Flaherty, kad tai būtų sunkus sprendimas ICO. Visi nori, kad GDPR turėtų dantis, todėl ICO turi rasti tinkamą pusiausvyrą, paaiškino jis.
BA pažeidimas nebuvo toks blogas, kaip kai kurie kiti neseniai įvykę įsilaužimai, pavyzdžiui, nukentėję „Equifax“ 2017 m , o didžiausia bauda gali paskatinti BA iki nemokumo, pridūrė Thornton-Trump.
Jis prognozavo baudą nuo 5 iki 10 milijonų svarų sterlingų ir pridūrė: tai yra didelė, tačiau tai nekelia pavojaus įmonei ir nėra „per daug politiška“.
Protestuodamas prieš šią savaitę paskelbtą 183 mln. svarų sterlingų baudą, BA patronuojančios bendrovės International Consolidated Airlines Group (IAG) vadovas Willie'is Walshas sakė: Ketiname imtis visų reikiamų veiksmų, kad energingai apgintume oro linijų poziciją, įskaitant reikalingų apeliacijų pateikimą. .
