Глобиха British Airways с 20 милиона паунда за изтичането на данни на над 400 000 души

Офисът на британския комисар по информацията съобщи  днес за  наложената санкция по GDPR

Офисът на британския комисар по информацията (ICO) съобщи за налагането на първата огромна глоба според Общия регламент за защита на данните (GDPR). Санкцията от 20 милиона паунда е за British Airways за изтичането на данни на над 400 000 души в нарушение на Общия регламент за защита на данните (GDPR).

В съобщението пише: “Службата на комисаря по информацията (ICO) установи, че авиокомпанията обработва значително количество лични данни без адекватни мерки за сигурност. … BA беше обект на кибератака през 2018 г., която не откри в продължение на повече от два месеца.

Разследващите на ICO установиха, че BA трябва да е установил слабости в сигурността си и да ги разреши с мерки за сигурност, които са били на разположение по това време.

Разглеждането на тези проблеми със сигурността би попречило на кибератаката през 2018 г. да бъде извършена по този начин, заключиха разследващите.

Комисарят по информацията Елизабет Денъм заяви: „Хората повериха личните си данни на BA и BA не предприеха адекватни мерки, за да запазят тези данни в безопасност.

„Бездействието им е неприемливо и е засегнало стотици хиляди хора, което като резултат може да е причинило безпокойство и стрес. Ето защо ние издадохме BA с глоба от 20 милиона паунда – най-голямата ни до момента.”

В цитата се казва още, че когато организациите вземат лоши решения относно личните данни на хората, това може да има реално въздействие върху живота им.  Бизнеса е насърчаван да взема по-добри решения относно данните, включително да инвестира в съвременни мерки за сигурност.

Тъй като нарушението на BA се е случило през юни 2018 г., преди Обединеното кралство да напусне ЕС, ICO разследва от името на всички органи на ЕС като водещ надзорен орган съгласно GDPR. Наказанието и действието са одобрени от другите надзорни органи от ЕС чрез процеса на сътрудничество по GDPR.

На 07.09.2018 г. разказах за инцидента със заглавие Откраднаха данните от 380 000 плащания с карти на сайта на British Airways.

През лятото на 2019 г. ICO съобщи, че възнамерява да глоби BA. Писах за това на 08.07.2019 г.  – Глоба от £ 183.39 млн. заплашва British Airways.  ICO е взел предвид при определянето на окончателния размер на глобата възраженията на  BA и икономическото въздействие на COVID-19 върху техния бизнес.

Смята се, че нападателят е имал потенциален достъп до личните данни на приблизително 429 612 клиенти и персонал. Това включва имена, адреси, номера на разплащателни карти и CVV номера на 244 000 клиенти на BA.

Други подробности, за които се смята, че са били достъпни, включват комбинираните номера на карти и CVV на 77 000 клиенти и номера на карти само за 108 000 клиенти.

Потребителски имена и пароли на акаунти на служители и администратори на BA, както и потребителски имена и ПИН до 612 акаунта в BA Executive Club също са били достъпни.

Според ICO мерките, които BA е можела да предприеме, за да смекчи или предотврати риска, включват:

  • ограничаване на достъпа до приложения, данни и инструменти според ролята на потребителя;
  • предприемане на строги тестове, под формата на симулиране на кибератака, върху бизнес системите;
  • защита на акаунти на служители и трети страни с многофакторно удостоверяване.

След атаката BA направи значителни подобрения в своята ИТ сигурност.

Разследващите от ICO установяват, че BA не са открили атаката на 22 юни 2018 г., но са били предупредени от трета страна повече от два месеца след това – на 5 септември.

Средствата се внасят в консолидирания фонд на Министерството на финансите, не в ICO, пише още в съобщението.

Можете да споделите: