Hack British Airways: dlaczego rekordowa grzywna w wysokości 183 milionów funtów mogła być znacznie wyższa
Naruszenie danych linii lotniczych było pierwszym poważnym przypadkiem zgodnie z nowymi przepisami RODO
Pascal Pavani/AFP/Getty Images
British Airways zostało ukarane grzywną w wysokości 183 milionów funtów za poważne naruszenie bezpieczeństwa w zeszłym roku – największa kara, jaką kiedykolwiek wymierzyło brytyjskie Biuro Komisarza ds. Informacji (ICO).
Linia lotnicza twierdzi, że jest zaskoczona i rozczarowana decyzją i planuje się odwołać.
Eksperci zwracają jednak uwagę, że zgodnie z ogólnoeuropejskim ogólnym rozporządzeniem o ochronie danych (RODO) regulator mógł nałożyć na BA grzywnę w wysokości ponad dwukrotności tej kwoty. Więc jakie są nowe zasady i dlaczego ta sprawa była tak istotna?
Co się stało podczas hackowania BA?
6 września linia lotnicza ogłosiła, że dane osobowe i płatnicze dziesiątek tysięcy klientów zostały skradzione podczas naruszenia bezpieczeństwa danych.
Dane karty płatniczej, w tym numer, data ważności i trzycyfrowy kod zabezpieczający lub „wartość weryfikacyjna karty” (CVV) zostały bezprawnie wydobyte z systemu rezerwacji, raporty Niezależny .
BA powiedział, że hakerzy przeprowadzili wyrafinowany, złośliwy atak przestępczy, kompromitując 382 000 transakcji przeprowadzonych na jego stronie internetowej i aplikacji między 21 sierpnia a 5 września. Policja i odpowiednie władze zostały powiadomione, dodała firma.
Przepraszając osoby, których to dotyczyło, szefowie BA powiedzieli, że naruszenie zostało rozwiązane, a skradzione dane nie zawierały szczegółów podróży ani paszportu. Firma zaczęła kontaktować się z klientami w momencie wykrycia naruszenia, dodała linia lotnicza.
ICO w tym tygodniu poinformowało, że użytkownicy witryny zostali przekierowani na fałszywą witrynę, na której zebrano dane około 500 000 osób.
Po ogłoszeniu grzywny prezes BA, Alex Cruz, powiedział w poniedziałek: British Airways szybko zareagowały na przestępstwo polegające na kradzieży danych klientów. Nie znaleźliśmy dowodów na oszustwa/oszukańcze działania na kontach powiązanych z kradzieżą.
Gdzie wkracza RODO?
Grzywna BA jest pierwszą, która zostanie upubliczniona zgodnie z nowymi przepisami, które weszły w życie w maju 2018 r., będąc największym wstrząsem w zakresie prywatności danych od 20 lat, mówi BBC .
Do tej pory największą karą było 500 000 funtów nałożone na Facebooka za jego rolę w skandalu z danymi Cambridge Analytica. To było maksimum dozwolone na mocy starych zasad ochrony danych, które obowiązywały przed RODO, mówi nadawca.
Nowe przepisy dopuszczają maksymalną karę w wysokości 4% obrotu sprawcy – co dla BA wyniosłoby 488 mln funtów. Zamiast tego nałożona kara wynosi 1,5% obrotów linii lotniczej w 2017 r. i jest znacznie niższa niż maksymalna kwota 488 mln GBP.
Sprawa cieszyła się dużym zainteresowaniem jako pierwsza tego rodzaju, jak zauważyła w artykule dla dziennikarzy Kate O’Flaherty zajmująca się cyberbezpieczeństwem. Forbes ostatni wrzesień.
Ian Thornton-Trump, weteran branży cyberbezpieczeństwa, powiedział O’Flaherty, że byłaby to trudna decyzja dla ICO. Wyjaśnił, że wszyscy chcą, aby RODO miało zęby, więc ICO musi zachować właściwą równowagę.
Włamanie BA nie było tak złe, jak niektóre inne niedawne włamania, takie jak ten, którego doświadczyli Equifax w 2017 r. , a maksymalna grzywna może doprowadzić BA do stanu niewypłacalności, dodał Thornton-Trump.
Przewidział grzywnę w przedziale od 5 do 10 milionów funtów, dodając: To znaczna kwota, ale nie naraża firmy na ryzyko i nie jest „zbyt polityczna”.
Protestując przeciwko ogłoszonej w tym tygodniu grzywnie w wysokości 183 milionów funtów, Willie Walsh, dyrektor generalny International Consolidated Airlines Group (IAG), spółki macierzystej BA, powiedział: Zamierzamy podjąć wszelkie odpowiednie kroki, aby energicznie bronić pozycji linii lotniczej, w tym złożyć wszelkie niezbędne odwołania .
