Atak cyberprzestępców wart 183,4 mln funtów

Agnieszka Bińczak

Na przełomie sierpnia i września z serwerów brytyjskich linii lotniczych British Airways na skutek ataku hakerskiego wykradziono cenne informacje.

Ofiarą cyberprzestępców padły dane 500 tysięcy pasażerów korzystających ze strony internetowej oraz aplikacji przewoźnika. Chodzi konkretnie o numery kart kredytowych, ich daty ważności oraz numery CVV2 używane do autoryzacji transakcji. Już takie informacje pozwalają cyberprzestępcom na wyczyszczenie kont klientów przewoźnika. Dodatkowo hakerzy mogli również podejrzeć ich imiona i nazwiska, miejsca zamieszkania oraz adresy e-mail.

8 lipca 2019 Brytyjskie Biuro Komisarza ds. Informacji stwierdziło, że słabe zabezpieczenia umożliwiły przekierowanie ruchu użytkownika ze strony British Airways na fałszywą stronę, począwszy od czerwca 2018 roku i nałożyło na British Airways rekordową grzywnę w wysokości 183,4 mln funtów, co stanowi aż 1,5 % globalnych, rocznych obrotów przewoźnika. To największa kara, jaką kiedykolwiek wydała ta instytucja oraz pierwsza, która została ogłoszona publicznie, zgodnie z nowymi zasadami RODO.

Prezes International Consolidated Airlines Group SA Alex Cruz jako właściciel linii nie ukrywa swojego zdziwienia i niezadowolenia z otrzymanej kary. Twierdzi, że firma szybko zareagowała na przestępstwo i nie znalazła dowodów kradzieży lub próby oszustwa na kontach klientów.

Kara oznacza nową erę dla firm, które doświadczają naruszeń danych na dużą skalę. Sfrustrowani faktem, że firmy nie robią wystarczająco dużo, aby chronić informacje online ludzi, europejscy decydenci w zeszłym roku przyjęli nową ustawę. To ogólne rozporządzenie o ochronie danych, znane jako General Data Protection Regulation (GDPR), które zmusza firmy do upewnienia się, że sposób zbierania, przetwarzania i przechowywania danych jest bezpieczny. Każda organizacja, mająca do czynienia z danymi osób z Unii Europejskiej podlega tym zasadom, niezależnie gdzie się znajduje. Firmy, które naruszają prawo, mogą zostać ukarane grzywną w wysokości do 4% swoich rocznych przychodów.

Działając przeciwko kultowej brytyjskiej marce, urzędnicy wykazali, że egzekwowanie nie będzie ograniczone do amerykańskich firm technologicznych, które były postrzegane jako główny cel. Wcześniej grzywny w biurze komisarza ds. informacji były ograniczone do 500 000 funtów. To była grzywna nałożona na Facebooka w zeszłym roku za umożliwienie Cambridge Analytica gromadzenia informacji o milionach użytkowników bez ich zgody.

Zagrożenie wysokimi grzywnami ma zachęcić firmy do inwestowania w cyberbezpieczeństwo i bardziej rozsądne informacje o użytkownikach, które gromadzą i przechowują. Firmy od lat gromadzą informacje o ludziach, aby tworzyć lepsze profile, aby sprzedawać więcej produktów i usług. – Daje to poczucie ryzyka dla firm zaangażowanych w znacznie większe naruszenia” – powiedział Johnny Ryan, główny specjalista ds. polityki w Brave, przeglądarce internetowej skoncentrowanej na prywatności.

Brytyjska decyzja o ukaraniu British Airways nie jest ostateczna. Agencja stwierdziła, że ​​„dokładnie rozważy” odpowiedź linii lotniczej i innych na jej karę przed wydaniem ostatecznej decyzji, umożliwiła również linii oficjalne odwołanie się.

https://venturebeat.com/2019/07/08/british-airways-faces-record-230-million-gdpr-fine-over-data-breach/

https://www.reuters.com/article/us-iag-cybercrime-ico/british-airways-faces-record-230-million-fine-over-data-theft-idUSKCN1U30KD

https://edition.cnn.com/2019/07/08/tech/british-airways-gdpr-fine/index.html