British Airways otrzymuje 20 milionów funtów grzywny za dopuszczenie do cyberprzestępstwa.

Biuro brytyjskiego komisarza ds. informacji (ICO) ukarało grzywną British Airways (BA) 20 milionów funtów (25 milionów dolarów). Komisja stwierdziła, że linia lotnicza jest odpowiedzialna za brak ochrony ponad 400 tys. danych osobowych i finansowych swoich klientów, które zostały ujawnione podczas incydentu z cyberatakiem w 2018 roku.

Kara finansowa, choć znaczna, jest około 25 razy niższa niż w przypadku „najgorszego scenariusza”.

W wyniku dwuletniego dochodzenia ICO stwierdziła, że British Airways przetwarza „znaczną” ilość prywatnych danych swoich klientów bez odpowiednich środków bezpieczeństwa. Gdyby linie lotnicze zidentyfikowały i rozwiązały słabe punkty swoich środków bezpieczeństwa, mogłyby zapobiec „tak przeprowadzonemu” atakowi cybernetycznemu w 2018 r., Komisja przedstawiła to w oświadczeniu z dnia 16 października 2020 r.

British Airways ujawniły, że w dniu 6 września 2018 r. były przedmiotem ataku cybernetycznego.

„Od 22:58 (BST) 21 sierpnia 2018 r. do 21:45 (BST) 5 września 2018 r. włącznie, dane osobowe i finansowe klientów dokonujących rezerwacji w ba.com i aplikacji linii lotniczych zostały narażone na szwank”, czytamy w oświadczeniu linii lotniczych.

W tym czasie szacowano, że hakerzy uzyskali dane osobowe około 380.000 klientów BA, w tym nazwiska, adresy, numery kart kredytowych, daty ważności i kody bezpieczeństwa, ale nie dane dotyczące podróży czy paszportu, jak podkreśliła linia lotnicza.

„Odkryliśmy, że coś się stało, ale nie wiedzieliśmy, co to było [wieczorem 5 września 2018 roku]. Tak więc z dnia na dzień zespoły próbowały ustalić zasięg ataku” – powiedział wtedy prezes i dyrektor generalny linii lotniczych Alex Cruz w BBC. „Pierwszą rzeczą było dowiedzieć się, czy było to coś poważnego i kogo to dotknęło, czy nie. W momencie, gdy rzeczywiste dane o klientach zostały naruszone, zaczęliśmy natychmiast komunikować się z nimi”.

Komunikat ICO wskazuje jednak, że naruszenie danych faktycznie dotknęło około 429 612 klientów i pracowników BBC. Wśród nich jest około 244.000 osób, których nazwiska, adresy, numery kart płatniczych i numery CVV zostały prawdopodobnie udostępnione przez atakującego.

Historyczna grzywna w wysokości 20 mln funtów przeciwko BA
„Ich bezczynność była nie do przyjęcia i dotknęła setki tysięcy ludzi, co mogło wywołać pewien niepokój i niepokój” – podkreślili śledczy ICO w oświadczeniu. „Dlatego właśnie nałożyliśmy na BA karę w wysokości 20 milionów funtów – największą jak dotąd.

Jednak największa jak dotąd grzywna nie jest tak duża, biorąc pod uwagę, że początkowe, najgorsze szacunki wskazywały na 25 razy większą sumę.

Po upublicznieniu informacji o cyberataku BA w 2018 r., eksperci obliczyli, że linia lotnicza może zostać ukarana grzywną w wysokości do 489 mln funtów (637 mln dolarów), co stanowi 4% jej rocznych globalnych przychodów w 2017 r.

W czerwcu 2019 r. ICO wystosowała do linii lotniczej powiadomienie o zamiarze nałożenia kary pieniężnej, ujawniając w końcu rzeczywistą wysokość proponowanej kary pieniężnej. W rzeczywistości organ ten proponował karę pieniężną w wysokości 183,39 mln funtów wobec przewoźnika lotniczego, co odpowiadało około 1,5% przychodów BA w 2017 roku.

Jak więc przebiegała kara od zamierzonej kwoty 182,39 mln funtów do faktycznej kwoty 20 mln funtów? Cóż, COVID-19 miał miejsce. „W ramach procesu regulacyjnego ICO rozważyła zarówno oświadczenia BA, jak i wpływ gospodarczy COVID-19 na ich działalność przed ustaleniem ostatecznej kary” – wyjaśnił organ w swoim ostatnim oświadczeniu. Przetłumaczono przy pomocy www.DeepL.com/Translator (wersja darmowa)