A British Airways Hack: ez nem az, hogy a vállalatok ne kezeljék az adatok megsértését

Úgy tűnik, hogy a káosz uralkodik a British Airways-ben, ahol a hackerek ellopták a 380 000 ügyfélfoglalás részleteit. A múltban a rosszindulatú számítógépes bűncselekmények elleni küzdelemre némi rossz válasz érkezett, de a légitársaság fellépése ebben az esetben a legutóbbi történelem egyik leggyengébb intézkedése lehet. Ennek egy része lehet az, hogy az EU-tól a vállalatoknak 72 órán belül meg kell jelenteniük a számítógépes támadásokat, és mivel az információk továbbra is visszatarthatók a folyamatban lévő bűnügyi nyomozás miatt.

Miután a vállalat 2018 májusában tapasztalatot szerzett az informatikai rendszereiben, úgy gondolja, hogy a BA-nak most már tervei vannak a számítógépes események gyorsabb és következetesebb megválaszolására. Úgy tűnik azonban, hogy ez a legújabb hack a katalógus hiányát mutatja.

Először is, a hack úgy tűnik, hogy több mint két hétig tartott, ami befolyásolja az augusztus 21. és szeptember 5. között megrendelt foglalásokat. Bár ez azt jelenti, hogy nem minden BA ügyfelünk veszélyben van - csak azok, akik ebben az időszakban foglalásokat kötöttek - még nem egyértelmű pontosan ki volt kedvezőtlen hatással, és ennek következtében pénzt veszítenek.

Amikor a hacket végül felfedezték, a BA kezdetben nem szolgáltatott elegendő koherens és robusztus információt a megtett adatok tényleges hatóköréről. A vállalat fő kijelentése a hack-ről meghatározta azokat az adatokat, amelyek nem voltak benne - útlevél és utazási adatok -, de nem fogalmazta meg, hogy a bankkártya adatai érintettek voltak, hanem azt tanácsolta az ügyfeleknek, hogy forduljanak a bankjaikhoz. Ez úgy tűnik, mintha egy nagyon rossz hírre próbálnánk pozitív centrifugálást hozni, és azt jelenti, hogy az ügyfelek leginkább aggasztó lehetséges lopása - a kártya adatai - nem került kiemelésre.

A nyilatkozat weboldalának gyakran ismételt kérdéseiben megállapította, hogy: „A nevek, címek és az összes bankkártya adatai mind veszélyben voltak.” Ez azonban nem adta meg a hack tényleges adatait, például, hogy a CVV A kártyák hátoldalán található biztonsági kódok (kártya hitelesítési érték) feltárásra kerültek, bár a BA ezt követően továbbította ezt az információt a médiának. Annak érdekében, hogy a banki adatok titkosításra kerüljenek, vagy nem, akkor túl sok kérdést kell megválaszolnia.

Ahhoz, hogy biztonságban legyen, a BA minden érintett ügyfelet tanácsot ad arra, hogy törölje kártyáit. Ez kezdetben eltömődött banki telefonvonalakhoz vezetett az érintett ügyfelek számának köszönhetően. Sajnos jelenleg nem világos, hogy pontosan ki érinti a negatív hatást. Számos ügyfél már bejelentette a kártyájukkal kapcsolatos csalást.

A reakció térdelnyomása valószínűleg az EU új általános adatvédelmi szabályzatának (GDPR) köszönhető, amely szerint az ilyen jellegű adatszegést 72 órán belül be kell jelenteni.

A BA vezérigazgatója, Alex Cruz elmondta a BBC-nek, hogy a vállalat szerdán este felfedezte a csapadékot, és csütörtök este megkapta az összes érintett ügyfelet. „Az első dolog az volt, hogy megtudjam, vajon valami komoly volt-e, és ki érinti. Abban a pillanatban, amikor a tényleges ügyféladatok veszélybe kerültek, akkor azonnal elkezdtük azonnali kommunikációt ügyfeleinkkel - mondta.

Hozzátette: „Elkötelezettek vagyunk abban, hogy olyan ügyfelekkel dolgozzunk, akiket ez a támadás pénzügyileg befolyásolhatott, és kompenzáljuk őket minden olyan pénzügyi nehézségért, amelyet esetleg szenvedett.”

Hálásak vagyunk, hogy a GDPR-nek köszönhetően az incidens legalábbis gyorsan nyilvánosságra került. Az Equifax hitelnyilvántartó ügynöksége három hónapot vett igénybe, hogy 2017-ben jelentést tegyen az adatszegésről, amely idő alatt a vezetők a vállalat részvényeit értékesítették, bár egy belső vizsgálat megtisztította őket minden bennfentes vagy nem megfelelő kereskedésről, mondván, hogy nem tudták az incidensről, amikor az ágakban.

A TalkTalk távközlési cég vezérigazgatója, Dido Harding az egyik legjobb példa arra, hogy hogyan ne válaszoljon az adatvédelemre. Miután 2015-ben a céget elkapta, Harding megjelent a TV-ben, azt javasolva, hogy az ügyfeleknek bízzanak az e-mailek a TalkTalk címekről, és amelyek tartalmazzák a TalkTalk weboldalára mutató hivatkozásokat. Ezeket most úgy értik, mint a szabványos technikákat, amelyeket a csalók meggyőznek az ügyfelek meggyőzésére, hogy e-mailek valódiak.

Az adatok megsértésének hosszú távú hatása

A GDPR szerinti vállalati adatszegés maximális bírsága a világ forgalmának 4% -a. 2017-ben a BA forgalma meghaladta a 12 milliárd fontot, így ha a társaságot ilyen bírsággal sújtották volna, ez meghaladhatja a 480 millió fontot, bár az EU-nak még nem kellett utalnia arra, hogy a hack bírságot eredményezhet. A BA már kínált ellentételezést az incidens által érintett ügyfelek számára, amelyek jelentős összegeket érhetnek el, különösen azért, mert sok olyan ügyfelet, akik BA-t figyelmeztettek az eseményről, nem mondták el, hogy a kártyájuk adatai valójában elloptak-e.

A kereskedelmi adatok megsértésének más példáihoz hasonlóan a kezdeti jelentések a vállalat részvényárfolyamát is elérték. A BA anyavállalatának - a nemzetközi konszolidált légitársaságok csoportjának - piaci értéke kezdetben 3,8 százalékkal csökkent. De valószínűleg a fogyasztói bizalomra gyakorolt ​​hatás lesz a legnagyobb kár.

Jelenleg kevés részletet szabadítottak fel a hack módszerével kapcsolatban. Ez magában foglalhatja a hagyományos adatgyűjtési módszereket az adatbázisból származó adatok rögzítésére. De ha magában foglalja a billentyűzeten megnyomott kulcsok rögzítését, a digitális pénzügyi infrastruktúránk alapjait megrázza.

Ha van egy dolog, amit ez a hack mutatja, az az, hogy rendkívül törékeny digitális világban élünk, és ahol a hackek egy ideig észrevétlenek. Tehát olyan pénzügyi átviteli rendszereket kell létrehoznunk, amelyek a folyamat minden egyes lépésében integrálják a titkosítást.

Ezt a cikket írta Bill Buchanan a Cyber ​​Academy-től, Edinburgh Napier Egyetem, eredetileg a The Conversation-ban jelent meg. Olvassa el az eredeti cikket.