facebook adres e-mail telefon

Rekordowa kara za RODO dla British Airways. Czy naprawdę będzie to 183 mln funtów? Co miał do tego Magecart?

RODO - Linie British Airways dostały* 183 mln funtów kary za naruszenie zasad.

To jest ok. 204 mln euro albo jak wolicie ponad 867 mln złotych! Jednak w tym przypadku interesująca jest nie tylko wysokość kary, ale również powód jej nałożenia oraz… to, że wysokość kary nie jest ostatecznie klepnięta, co wiele mediów jakby pomija.

Trzeba szczerze powiedzieć, że pierwsza polska milionowa kara za RODO właśnie straciła swój blask. Ba! Inne “kary za RODO” też wydają się jakby malutkie i mało dotkliwe przy tym, co spotkało British Airways. A właściwie to może spotkać, bo jeszcze nie spotkało.

Rekordowa kara za RODO dla British Airways

 

Brytyjski organ ochrony danych (ICO) rzeczywiście poinformował, że linie British Airways mogą zapłacić 183 mln funtów kary. Powodem ma być “cyberincydent” zgłoszony do ICO we wrześniu 2018 roku, polegający na przekierowaniu ruchu użytkowników “na oszukańczą stronę”. To wymaga wyjaśnienia, iż…

To był Magecart

W dniach od 21 sierpnia do 5 września doszło do wykradzenia danych osób, które korzystały ze strony ba.com albo z aplikacji mobilnej linii lotniczej. Początkowo mówiono o wycieku 380 tys. osób, który obejmował dane o płatnościach wykonywanych w pechowych dniach. Na szczęście nie doszło do wycieku informacji o paszportach. Według późniejszych ustaleń ICO doszło do zebrania danych 500 tys. osób.

Jeśli chcecie znać dokładniejsze szczegóły ataku to jego analizę opublikowała firma RiskIQ. Narzędziem cyberprzestępców był Magecart będący dość dobrze znanym “webowym skimmerem”, czyli kodem podrzucanym na stronę internetową w celu przejmowania danych kartowych. Nawiasem mówiąc to również Magecart był użyty do ataku na Ticketmastera, a także na innych e-usługodawców i sprzedawców (m.in. Newegg).

Atakujący musieli mieć całkiem niezły dostęp do serwerów British Airways, bo udało im się nie tylko umieścić na stronach Magecarta, ale też nieźle go zamaskować. Tylko jak to się stało, że atak skierowany na stronę dotknął użytkowników aplikacji mobilnej? Cóż. Aplikacje bardzo często bazują na treściach załadowanych ze strony internetowej.

ICO twierdzi, że do ataku nie mogłoby dojść gdyby nie słabe zabezpieczenia stosowane przez British Airways (mówiąc po prawniczemu – zdaniem ICO doszło do naruszenia art. 32 RODO). W komentarzu dla prasy brytyjska komisarz ds. informacji Elizabeth Denham podkreśliła, że jeśli jesteś zaufanym podmiotem to musisz się pilnować.

Cyberataki mogą zaboleć podwójnie

Przedstawiciele BA widzą sprawę nieco inaczej. W wypowiedziach cytowanych m.in. przez BBC stwierdzili oni, że firma padła ofiarą zaawansowanego, złośliwego, kryminalnego ataku. Poza tym – trzeba to przyznać – BA podeszła do wycieku dość odpowiedzialnie, informując o nim klientów i współpracując z ICO.

* – jest jeszcze nadzieja

W tym miejscu odniesiemy się do czerwonej gwiazdki umieszczonej w pierwszym akapicie tekstu. Kara nie została nałożona “ostatecznie”, o czym mówi również komunikat ICO. Tak naprawdę ICO jedynie wydał zawiadomienie o zamiarze nałożenia tak wysokiej kary. Wiele mediów pominęło tę informację sugerując, że decyzja o karze jest ostateczna. Nie jest.

ICO has been investigating this case as lead supervisory authority on behalf of other EU Member State data protection authorities. It has also liaised with other regulators. Under the GDPR ‘one stop shop’ provisions the data protection authorities in the EU whose residents have been affected will also have the chance to comment on the ICO’s findings.

The ICO will consider carefully the representations made by the company and the other concerned data protection authorities before it takes its final decision.

Jeśli BA faktycznie dostanie tak dużą karę to wszyscy będziemy musieli zmienić swoje zdanie o konsekwencjach z jakimi może się wiązać wyciek danych będący skutkiem bezpośredniego ataku cyberprzestępców. Można nawet rozważyć, czy zbytnia surowość kar w takich przypadkach nie zniechęci firm do prób tuszowania wycieków? Do tej pory nie widzieliśmy aż tak wysokich “kar za RODO” i nawet Facebook dostał od ICO znacznie niższą karę za swój udział w aferze Cambridge Analytica. Ciekawie będzie się przekonać, czy linie lotnicze faktycznie tak słono zapłacą.

Żródło: niebezpiecznik.pl

Firma CSK oferuje swoim klientom usługę Administratora Systemów Informatycznych (ASI). Usługa obejmuje pełnienie funkcji ASI i realizację wymogów rozporządzenia i ustawy o ochronie danych osobowych poprzez przygotowywanie odpowiedniej dokumentacji opisującej zastosowane środki techniczne i ich działanie, instrukcje dla użytkowników, szeroką ocenę analizy ryzyka w zakresie platformy systemowej w systemach informatycznych Zleceniodawcy objętych i zarządzanych w ramach niniejszej umowy przez Zleceniobiorcę. W przypadku pytań zachęcamy do kontaktu.

Poprzedni artykuł: Cyberbezpieczeństwo - jak to wygląda w rzeczywistości

Masz pytania? Napisz do nas!

Wyślij wiadomość