British Airways uzlaušana: kāpēc rekordliels naudassods 183 miljonu mārciņu apmērā varēja būt daudz lielāks
Aviosabiedrību datu pārkāpums bija pirmais nozīmīgais gadījums saskaņā ar jaunajiem GDPR noteikumiem
Paskāls Pavani/AFP/Getty Images
British Airways tika sodīts 183 miljonu sterliņu mārciņu apmērā par nopietnu drošības pārkāpumu pagājušajā gadā – tas ir lielākais sods, ko jebkad ir piešķīris Apvienotās Karalistes Informācijas komisāra birojs (ICO).
Aviokompānija saka, ka ir pārsteigta un vīlusies par šo lēmumu, un plāno to pārsūdzēt.
Taču eksperti norāda, ka saskaņā ar Eiropas Vispārīgo datu aizsardzības regulu (VDAR) regulators būtu varējis uzlikt BA ar naudas sodu, kas pārsniedz šo summu vairāk nekā divas reizes. Kādi tad ir jaunie noteikumi un kāpēc šī lieta bija tik nozīmīga?
Kas notika BA hackā?
6. septembrī aviokompānija paziņoja, ka datu aizsardzības pārkāpuma laikā tika nozagti desmitiem tūkstošu klientu personas un maksājumu dati.
Informācija par maksājumu kartēm, tostarp numurs, derīguma termiņš un trīsciparu drošības kods jeb 'kartes verifikācijas vērtība' (CVV), tika nelikumīgi izvilkta no rezervēšanas sistēmas, ziņo. Neatkarīgā .
BA paziņoja, ka hakeri ir veikuši sarežģītu, ļaunprātīgu noziedzīgu uzbrukumu, apdraudot 382 000 darījumu, kas tika veikti tās tīmekļa vietnē un lietotnē laikā no 21. augusta līdz 5. septembrim. Par notikušo informēta policija un attiecīgās iestādes, piebilda uzņēmums.
Atvainojoties cietušajiem cilvēkiem, BA priekšnieki sacīja, ka pārkāpums ir novērsts un nozagtajos datos nav iekļauta informācija par ceļojumu vai pasēm. Firma bija sākusi sazināties ar klientiem brīdī, kad pārkāpums tika atklāts, piebilda aviokompānija.
ICO šonedēļ paziņoja, ka vietnes lietotāji tika novirzīti uz krāpniecisku vietni, kur tika iegūta informācija par aptuveni 500 000 cilvēku.
Pēc paziņojuma par naudassodu BA vadītājs Alekss Krūzs pirmdien sacīja: British Airways ātri reaģēja uz noziedzīgu darbību, lai nozagtu klientu datus. Mēs neesam atraduši pierādījumus par krāpšanu/krāpnieciskām darbībām kontos, kas saistīti ar zādzību.
Kur ienāk GDPR?
BA naudas sods ir pirmais, kas tiek publiskots saskaņā ar jaunajiem noteikumiem, kas stājās spēkā 2018. gada maijā, un tas ir lielākais datu privātuma satricinājums pēdējo 20 gadu laikā. BBC .
Līdz šim lielākais sods bija £ 500 000, kas tika piemērots Facebook par tā lomu Cambridge Analytica datu skandālā. Tas bija maksimums, kas atļauts saskaņā ar vecajiem datu aizsardzības noteikumiem, kas bija spēkā pirms GDPR, norāda raidorganizācija.
Jaunie noteikumi pieļauj maksimālo sodu 4% apmērā no vainīgās puses apgrozījuma, kas BA būtu bijis 488 miljoni mārciņu. Tā vietā piemērotais sods ir 1,5% no aviokompānijas apgrozījuma 2017. gadā un ir ievērojami mazāks par maksimālo 488 miljonu mārciņu.
Lieta ir izraisījusi ievērojamu interesi kā pirmā šāda veida lieta, kā rakstā atzīmēja kiberdrošības žurnāliste Keita O’Flāhertija. Forbes pagājušā gada septembrī.
Kiberdrošības nozares veterāns Ians Torntons-Tramps sacīja O’Flahertijam, ka ICO tas būtu grūts lēmums. Ikviens vēlas, lai GDPR būtu zobi, tāpēc ICO šeit ir jāpanāk pareizais līdzsvars, viņš paskaidroja.
BA pārkāpums nebija tik slikts kā daži citi nesenie uzlaušanas gadījumi, piemēram, cieta Equifax 2017. gadā , un maksimālais naudas sods var novest BA līdz maksātnespējai, piebilda Torntons-Tramps.
Viņš prognozēja naudas sodu no 5 līdz 10 miljoniem sterliņu mārciņu, piebilstot: tas ir ievērojami, taču tas nepakļauj uzņēmumu riskam un nav 'pārāk politisks'.
BA mātesuzņēmuma International Consolidated Airlines Group (IAG) izpilddirektors Villijs Volšs, protestējot pret šonedēļ izsludināto 183 miljonu mārciņu naudassodu, sacīja: Mēs plānojam veikt visus atbilstošos pasākumus, lai enerģiski aizstāvētu aviokompānijas pozīciju, tostarp iesniegt visas nepieciešamās apelācijas. .
