Στην British Airways έχει επιβληθεί πρόστιμο ύψους 20 εκατομμυρίων λιρών για «απαράδεκτα» λάθη που οδήγησαν στην κλοπή των προσωπικών δεδομένων εκατοντάδων χιλιάδων πελατών το 2018.
Το πρόστιμο αντιπροσωπεύει τη μεγαλύτερη χρηματική ποινή που έχει εκδοθεί μέχρι σήμερα από το Γραφείο Information Commissioner του Ηνωμένου Βασιλείου (ICO) και βασίζεται στον κανονισμό των προστασίας δεδομένων GDPR.
Το περιστατικό ξεκίνησε το καλοκαίρι του 2018 και δεν εντοπίστηκε από την αεροπορική εταιρεία για πάνω από δύο μήνες, προτού τελικά δημοσιοποιηθεί τον Σεπτέμβριο του 2018.
Πάνω από 400.000 πελάτες της British Airways που χρησιμοποίησαν τον ιστότοπο κατά τη διάρκεια του καλοκαιριού του 2018 και ανακατευθύνθηκαν σε έναν δόλιο ιστότοπο που διευθύνονταν από επιτιθέμενους στον κυβερνοχώρο, οι οποίοι συνέλεξαν προσωπικά στοιχεία, συμπεριλαμβανομένων ονομάτων, διευθύνσεων και πληροφοριών καρτών πληρωμής.
Μια έρευνα του ICO κατέληξε στο συμπέρασμα ότι η British Airways έπρεπε να ήταν σε θέση να εντοπίσει τις αδυναμίες της ασφάλειας στον κυβερνοχώρο και να τις επιλύσει με τα μέτρα ασφαλείας που ήταν διαθέσιμα εκείνη τη στιγμή.
Η έρευνα του ICO κατέληξε στο συμπέρασμα ότι υπήρχαν πολλά μέτρα που θα μπορούσε να λάβει η British Airways για να μετριάσει την επίθεση.
Αυτά περιλαμβάνουν τον περιορισμό της πρόσβασης σε συγκεκριμένες εφαρμογές, τη διενέργεια αυστηρών penetration tests και την προστασία των λογαριασμών με έλεγχο ταυτότητας πολλών παραγόντων.
Το ICO σημειώνει ότι κανένα από αυτά τα μέτρα δεν απαιτούσε «υπερβολικό κόστος ή τεχνικά εμπόδια» και ότι ορισμένα από αυτά τα ανεπτυγμένα μέτρα ασφαλείας ήταν διαθέσιμα αλλά δεν χρησιμοποιήθηκαν.
Η έρευνα κατέληξε επίσης στο συμπέρασμα ότι “δεν είναι σαφές” εάν η British Airways θα είχε εντοπίσει από μόνη της την επίθεση, αν δεν είχε ειδοποιηθεί για το συμβάν από κάποιο τρίτο μέρος. Το ICO θεωρεί το συμβάν ως «σοβαρή αποτυχία» λόγω του αριθμού των ατόμων που επηρεάστηκαν.
Ωστόσο, μετά την επίθεση, το ICO σημειώνει ότι η British Airways έχει κάνει “σημαντικές” βελτιώσεις στις διαδικασίες ασφάλειας πληροφοριών.
