British Airways Hack: To je, kako podjetja ne bi smela ravnati kršitev podatkov

Zdi se, da Chaos vlada v British Airwaysu, kjer so hekerji ukradli podrobnosti okoli 380.000 rezervacij strank. V preteklosti je prišlo do nekaterih slabih odzivov na kibernetske napade na velika podjetja, vendar bi lahko bili ukrepi letalske družbe v tem primeru ena najšibkejših v novejši zgodovini. Del tega je lahko dejstvo, da se od podjetij EU zahteva, da v 72 urah poročajo o kibernetskih napadih, in ker se lahko zaradi še vedno potekajoče kazenske preiskave informacije še vedno zadržijo.

Po tem, ko je podjetje v svojih informacijskih sistemih v maju 2018 doživelo težave z električno energijo, menite, da bo BA zdaj pripravila načrte za hitrejše in skladnejše odzivanje na računalniške incidente. Vendar se zdi, da ta najnovejši hack prikazuje katalog zamujenih priložnosti.

Prvič, kramp se zdi, da je trajal več kot dva tedna, kar je vplivalo na rezervacije med 21. avgustom in septembrom 5. Čeprav to pomeni, da niso vse stranke BA ogrožene - samo tiste, ki so opravile rezervacije v tem obdobju - prav tako še ni jasno. kdo je bil negativno prizadet in ali bodo zaradi tega izgubili denar.

Ko je bil hek končno odkrit, BA na začetku ni zagotovila dovolj skladnih in trdnih informacij o dejanskem obsegu sprejetih podatkov. Glavna izjava družbe o krampu je opredelila podatke, ki niso bili vključeni - potni list in podrobnosti o potovanjih - vendar niso pojasnili, da gre za podatke o bančni kartici, temveč je svetoval strankam, naj stopijo v stik s svojimi bankami. To se zdi, kot da poskuša dati pozitivno spin na zelo slabe novice, in pomeni, da potencialne kraje, kaj stranke so najbolj zaskrbljeni - njihove kartice podrobnosti - ni bila poudarjena.

V poglavju pogosto zastavljenih vprašanj na spletni strani izjave je bilo navedeno, da so »imena, naslovi in ​​vsi podatki o bančnih karticah ogroženi.« Vendar to ni dalo dejanskih podrobnosti v zvezi s hekanjem, na primer, ali CVV (vrednost preverjanja kartice) so bile odkrite varnostne kode na hrbtni strani kartic, čeprav je BA kasneje posredovala te informacije medijem. Če ne boste razkrili, ali so bančni podatki šifrirani ali ne, je še vedno treba odgovoriti na preveč vprašanj.

Da bi bila varna, BA svetuje vsem prizadetim strankam, da prekličejo svoje kartice. To je sprva privedlo do zamašitve bančnih telefonskih linij zaradi velikega števila prizadetih strank. Žal trenutno ni jasno, kdo je bil dejansko negativno prizadet. Več strank je že prijavilo goljufije na svojih karticah.

Nenavadna narava odziva je bila verjetno posledica nove splošne uredbe EU o varstvu podatkov (GDPR), ki pravi, da je treba tovrstne kršitve podatkov sporočiti v 72 urah po odkritju.

Glavni izvršni direktor BA, Alex Cruz, je za BBC povedal, da je podjetje v sredo zvečer odkrilo kramp in je do četrtka zvečer stopil v stik z vsemi prizadetimi strankami. »Prva stvar je bila ugotoviti, ali gre za nekaj resnega in koga je prizadela ali ne. V trenutku, ko so bili dejanski podatki o strankah ogroženi, smo začeli takojšnjo komunikacijo z našimi strankami, «je dejal.

Dodal je: "Zavezani smo k sodelovanju z vsako stranko, ki jo je finančno prizadel ta napad, in jih bomo nadomestili za vse finančne težave, ki so jih morda utrpele."

Moramo biti hvaležni, da se je incident zahvaljujoč BDPR hitro objavil. Agenciji za poročanje o kreditnih tveganjih Equifax je bilo treba v letu 2017 prijaviti kršitev podatkov, v katerem so izvršni direktorji prodali delnice v podjetju, čeprav jih je notranja preiskava očistila kakršnih koli notranjih ali neustreznih poslov, pri čemer so trdili, da niso vedeli za incident, trgovanja.

Dido Harding, direktor telekomunikacijske družbe TalkTalk, je zagotovil enega najboljših primerov, kako se ne odzvati na kršitev podatkov. Po tem, ko je bilo podjetje leta 2015 vdrto, se je Harding pojavil na televiziji in predlagal, da bi morali uporabniki zaupati e-poštnim naslovom iz naslova storitve TalkTalk in ki so vsebovali povezave do spletnega mesta TalkTalk. To se zdaj razume kot standardne tehnike, ki jih prevaranti uporabljajo za prepričevanje kupcev, da so njihova e-poštna sporočila pristna.

Dolgoročni vpliv kršitve podatkov

Najvišja globa za kršitev podatkov o podjetju v okviru BDPR je 4 odstotke svetovnega prometa. V letu 2017 je promet družbe BA znašal več kot 12 milijard GBP, tako da bi, če bi bila družba zadolžena s takšno globo, lahko znašala več kot 480 milijonov GBP, čeprav EU še ni navedla, ali bi lahko kramp povzročil denarno kazen. BA je že ponudila odškodnino za stranke, ki jih je prizadel incident, ki lahko doseže velike zneske, še posebej, ker veliko strank, ki so jih BA obvestile o incidentu, niso povedale, ali so bili podatki o njihovi kartici dejansko ukradeni.

Kot v drugih primerih kršitev komercialnih podatkov, je začetno poročanje doseglo ceno delnice družbe. Tržna vrednost matične skupine BA - skupine International Consolidated Airlines - je bila sprva zmanjšana za 3,8 odstotka. Ampak to je verjetno vpliv na zaupanje strank, ki bodo imeli največ škode.

Trenutno je bilo objavljenih nekaj podrobnosti o metodi hekerja. Zato lahko vključuje tradicionalne metode hekerskega zajemanja podatkov iz baze podatkov. Toda če bi vključevali zajemanje podrobnosti o tem, kateri ključi so uporabniki pritisnili na svojo tipkovnico, bi to pretrgalo temelje naše digitalne finančne infrastrukture do svojega jedra.

Če se ta stvar pokaže, je to, da živimo v izredno krhkem digitalnem svetu in tam, kjer se lahko hoke nekaj časa ne odkrijejo. Zato moramo zgraditi sisteme finančnih prenosov, ki vključujejo šifriranje na vsakem koraku procesa.

Ta članek, ki ga je napisal Bill Buchanan iz Cyber ​​Academy, Univerza v Edinburgu Napier, je bil prvotno objavljen na pogovoru. Preberite izvirni članek.