British Airways za ukladanie citlivých údajov v nezašifrovanom texte zaplatia 20 miliónov

British Airways za ukladanie citlivých údajov v nezašifrovanom texte zaplatia 20 miliónov

Britský Informačný úrad (ICO) vydal nekompromisné rozhodnutie – aerolinke British Airways udelil pokutu v bezprecedentnej výške 20 miliónov libier (22 miliónov eur).

Letecká spoločnosť British Airways sa dopustila porušenia zásad bezpečnosti a zodpovednosti, ktoré vyplývajú zo Všeobecného nariadenia o ochrane osobných údajov (GDPR).

Vyšetrovanie ukázalo, že poškodených malo byť takmer 430 tisíc osôb, spomedzi ktorých mali svoje zastúpenie nielen zákazníci, ale aj samotní zamestnanci spoločnosti.

Podľa slov komisárky Elizabeth Denham, národný letecký dopravca neprijal primerané opatrenia na zabezpečenie ochrany osobných a finančných údajov.

Nezašifrované platobné údaje

Únik dát súvisí s incidentom z júna 2018 kedy sa spoločnosť stala predmetom kybernetického útoku neznámeho páchateľa.

Odcudzené mali byť mená, adresy, čísla a CVV kódy platobných kariet zákazníkov, ale aj prihlasovacie údaje do účtov zamestnancov či administrátorov. Útočník neobišiel ani účty členov Executive Club leteckej spoločnosti.

Okrem toho, že vývojári nezabránili zneužitiu zraniteľnosti, ktorá umožnila hackerovi prístup do siete, vyšetrovacia správa poukázala na inú kritickú chybu v zabezpečení. Všetky citlivé dáta boli na serveri dostupné vo forme nezašifrovaného textu.

Úniku sa dalo predísť

Spoločnosť zlyhala aj pri detekcii útoku – upozornila ju naň až tretia strana, a to dva mesiace po incidente.

„Existuje množstvo opatrení, ktoré mohla spoločnosť BA (British Airways, pozn.) použiť na zmiernenie alebo zabránenie riziku prístupu útočníka do siete BA.“

Podľa ICO mala aerolinka obmedziť prístup k aplikáciám, údajom a nástrojom iba na nevyhnutné účely, vykonať systémové testovanie v podobe simulácie kybernetického útoku či chrániť účty zamestnancov a tretích strán pomocou viacfaktorovej autentifikácie.

90-percentné zmiernenie postihu

Aerolinka si napriek vysokej pokute môže „vydýchnuť“ – ICO spočiatku operovala so sumou 183 miliónov libier (202 miliónov eur).

„V rámci regulačného procesu ICO pred stanovením konečnej pokuty zvážila vyjadrenia spoločnosti BA a ekonomický dopad COVID-19 na ich podnikanie.“

Výška pokuty tak dosiahla svoje maximum v súlade s európskymi pravidlami. Tie hovoria, že za porušenie pravidiel GDPR spoločnostiam hrozí sankcia 20 miliónov eur alebo 4% ročného súhrnného obratu.


Klára Kaničárová