Η British Airways αντιμετωπίζει την πιθανότητα του προστίμου ύψους 183,4 εκατομμυρίων λιρών, εξαιτίας μιας κυβερνοεπίθεσης που έγινε στα συστήματα της πέρυσι.
Η εικαζόμενη ποινή έρχεται μετά από παραβίαση δεδομένων κατά την οποία επηρεάστηκαν εκατοντάδες χιλιάδες πελάτες που χρησιμοποίησαν το website της British Airways μεταξύ Απριλίου και Ιουνίου του 2018. Η παραβίαση αναφέρθηκε τον Σεπτέμβριο.
Το περιστατικό αυτό έγινε εξαιτίας του traffic στο website της British Airways το οποίο σε “μετέφερε” σε ένα δόλιο website. Κατά τη διάρκεια αυτού του περιστατικού προσωπικά στοιχεία περίπου 500.000 πελατών συλλέχθηκαν από τους εισβολείς με το περιστατικό να εικάζεται ότι ξεκίνησε τον Ιούνιο του 2018.
Η ICO ανακοίνωσε την πρόθεσή της να εκδώσει το πρόστιμο βάσει του γενικού κανονισμού για την προστασία των δεδομένων, των νόμων της Ευρωπαϊκής Ένωσης για την προστασία των δεδομένων που τέθηκαν σε ισχύ το Μάιο του περασμένου έτους – και το ποσό που σχεδιάζεται να εκδώσει ως ποινή είναι το μεγαλύτερο που έχει εκδοθεί στο πλαίσιο του GDPR.
Τα προσωπικά δεδομένα των πελατών και οι πληροφορίες της πιστωτικής κάρτας θεωρείται ότι έχουν κλαπεί από μια εγκληματική ομάδα γνωστή στον κυβερνοχώρο με την ονομασία Magecart. Η ομάδα hacking είναι γνωστή για την παραβίαση eshop και για το ότι κρύβει τον κώδικα JavaScript που κλέβει πληροφορίες της πιστωτικής κάρτας που εισέρχεται σε μεγάλες σελίδες checkout.
Στη συνέχεια στην διαδικασία που περιγράφεται ως “εκτεταμένη έρευνα”, η ICO διαπίστωσε ότι οι πληροφορίες διακυβεύονταν από “κακές ρυθμίσεις ασφαλείας” στη British Airways. Αυτό αφορά την ασφάλεια γύρω από την σύνδεση, την κάρτα πληρωμής και τις λεπτομέρειες κράτησης ταξιδιού, καθώς και πληροφορίες σχετικά με το όνομα και τη διεύθυνση.
“Τα προσωπικά δεδομένα των ανθρώπων είναι ακριβώς αυτό – προσωπικά. Όταν ένας οργανισμός αποτυγχάνει στο να τα προστατεύει από τυχόν απώλειες ή ζημιές αυτό δημιουργεί πολύ περισσότερο από το αίσθημα της ταλαιπωρίας στους χρήστες», δήλωσε η Elizabeth Denham.
“Γι ‘αυτό ο νόμος είναι σαφής – όταν σας ανατίθενται προσωπικά δεδομένα πρέπει να προσέχετε”.
Ο πρόεδρος και διευθύνων σύμβουλος της British Airways, Alex Cruz, δήλωσε ότι η εταιρεία «εκπλήσσεται και απογοητεύεται» από τα ευρήματα της ICO, ισχυριζόμενος ότι η εταιρεία δεν βρήκε «καμία ένδειξη δόλιας δραστηριότητας σε λογαριασμούς που συνδέονται με την κλοπή».
Η British Airways έχει την δυνατότητα μέσα σε 28 μέρες από την ημέρα της απόφασης να εναντιωθεί και προτίθεται να το πράξει – για την ακρίβεια η μητρική εταιρεία International Airlines Group.
“Σκοπεύουμε να λάβουμε όλα τα απαραίτητα μέτρα για να υπερασπιστούμε την θέση της British Airways έντονα”, δήλωσε ο διευθύνων σύμβουλος της IAG, Willie Walsh.
Μια δήλωση της ICO αναφέρει ότι θα «εξετάσει προσεκτικά τις παρατηρήσεις της εταιρείας και των άλλων ενδιαφερόμενων αρχών προστασίας δεδομένων προτού λάβει την τελική της απόφαση». Το τελικό ποσό του προστίμου μπορεί να είναι χαμηλότερο.
Η προηγούμενη υψηλότερη ποινή που εκδόθηκε από την ICO ήταν £ 500.000. Αυτό ήταν το μέγιστο που θα μπορούσε να ζητήσει σύμφωνα με τους παλαιούς κανόνες και το ποσό το πλήρωσε το Facebook για το ρόλο του στο σκάνδαλο Cambridge Analytica.
