British Airways Hack: oto jak firmy nie powinny obsługiwać naruszeń danych

Chaos wydaje się panować w British Airways, gdzie hakerzy ukradli szczegóły dotyczące około 380 000 rezerwacji przez klientów. W przeszłości pojawiły się słabe reakcje na cyberataki na duże firmy, ale działania linii lotniczych w tym przypadku mogą być jednym z najsłabszych w najnowszej historii. Częściowo może to wynikać z faktu, że UE jest obecnie zobowiązana przez UE do zgłaszania cyberataków w ciągu 72 godzin, a także dlatego, że informacje mogą być nadal wstrzymywane z powodu trwającego dochodzenia karnego.

Po tym, jak firma doświadczyła problemów z zasilaniem w swoich systemach informatycznych w maju 2018 r., Można by pomyśleć, że BA miałoby teraz plany szybszego i bardziej spójnego reagowania na incydenty komputerowe. Jednak ten najnowszy hack ukazuje katalog straconych szans.

Po pierwsze, hakowanie trwa dłużej niż dwa tygodnie, wpływając na rezerwacje dokonane między 21 sierpnia a 5 września. Chociaż oznacza to, że nie wszyscy klienci BA są narażeni na ryzyko - tylko ci, którzy dokonali rezerwacji w tym okresie - nie jest to jeszcze jasne dokładnie kto miał negatywny wpływ i czy w rezultacie stracą pieniądze.

Kiedy hack został ostatecznie wykryty, BA początkowo nie dostarczył wystarczająco spójnych i rzetelnych informacji na temat rzeczywistego zakresu pobieranych danych. Główne oświadczenie firmy na temat hakowania określało dane, które nie zostały uwzględnione - dane paszportowe i podróżne - ale nie określiło, że chodzi o dane karty bankowej, zamiast tego doradzając klientom skontaktowanie się z ich bankami. Wydaje się, że próba pozytywnego nastawienia na bardzo złe wiadomości i oznacza, że ​​potencjalna kradzież tego, o co najbardziej martwią się klienci - ich dane karty - nie została wyróżniona.

W sekcji często zadawanych pytań na stronie internetowej oświadczenia stwierdzono, że: „Nazwy, adresy i wszystkie dane kart bankowych były zagrożone.” Ale to nie podało rzeczywistych szczegółów włamania, takich jak to, czy CVV (wartość weryfikacji karty) kody bezpieczeństwa znalezione na odwrocie kart zostały ujawnione, chociaż BA dostarczył później te informacje do mediów. Aby nie ujawniać, czy dane bankowe zostały zaszyfrowane, czy nie, pozostaje zbyt wiele pytań, na które należy odpowiedzieć.

Aby być bezpiecznym, BA doradza wszystkim zainteresowanym klientom, aby anulowali swoje karty. Początkowo doprowadziło to do zatkania linii telefonicznych banków ze względu na samą liczbę dotkniętych klientów. Niestety, obecnie nie jest jasne, do kogo rzeczywiście wpłynęło negatywne działanie. Kilku klientów zgłosiło już oszustwo na swoich kartach.

Odruchowa reakcja była prawdopodobnie spowodowana nowym unijnym ogólnym rozporządzeniem o ochronie danych (GDPR), które mówi, że tego rodzaju naruszenia danych muszą być zgłaszane w ciągu 72 godzin od wykrycia.

Dyrektor generalny BA, Alex Cruz, powiedział BBC, że firma odkryła hack w środę wieczorem i skontaktowała się ze wszystkimi zainteresowanymi klientami w czwartek wieczorem. „Pierwszą rzeczą było dowiedzieć się, czy było to coś poważnego, a kto na to wpłynął. W momencie, gdy rzeczywiste dane klientów zostały naruszone, zaczęliśmy natychmiastową komunikację z naszymi klientami - powiedział.

Dodał: „Jesteśmy zobowiązani do współpracy z każdym klientem, który mógł zostać dotknięty finansowo przez ten atak, i zrekompensujemy im wszelkie trudności finansowe, które mogli ponieść”.

Powinniśmy być wdzięczni, że dzięki GDPR incydent został przynajmniej szybko upubliczniony. Agencja sprawozdawczości kredytowej Equifax zajęła trzy miesiące na zgłoszenie naruszenia danych w 2017 r., W którym to czasie dyrektorzy sprzedali udziały w spółce, chociaż dochodzenie wewnętrzne oczyściło ich z wszelkich poufnych informacji lub niewłaściwego obrotu, twierdząc, że nie byli świadomi tego incydentu, gdy dokonali transakcje.

Dido Harding, dyrektor generalny firmy telekomunikacyjnej TalkTalk, podał jeden z najlepszych przykładów tego, jak nie reagować na naruszenie danych. Po włamaniu do firmy w 2015 r. Harding pojawił się w telewizji, sugerując, że klienci powinni ufać wiadomościom e-mail z adresów TalkTalk, które zawierały linki do witryny TalkTalk. Są one obecnie rozumiane jako standardowe techniki wykorzystywane przez oszustów, aby przekonać klientów, że ich e-maile są prawdziwe.

Długoterminowy wpływ naruszenia danych

Maksymalna grzywna za naruszenie danych firmy w ramach PKBR wynosi 4 procent światowego obrotu. W 2017 r. Obroty BA przekroczyły 12 miliardów funtów, więc gdyby firma została dotknięta taką grzywną, mogłaby przekroczyć 480 milionów funtów, chociaż UE musi jeszcze wskazać, czy hak może doprowadzić do grzywny. BA zaoferował już odszkodowanie dla klientów dotkniętych incydentem, które mogą osiągnąć znaczne kwoty, zwłaszcza że wielu klientów, którzy BA powiadomili o incydencie, nie zostało poinformowanych, czy ich dane karty zostały rzeczywiście skradzione.

Podobnie jak w innych przykładach naruszeń danych komercyjnych, początkowe zgłoszenie wpłynęło na cenę akcji spółki. Wartość rynkowa macierzystej grupy BA - International Consolidated Airlines Group - początkowo spadła o 3,8 procent. Ale to może mieć największy wpływ na zaufanie klientów.

Obecnie niewiele szczegółów zostało opublikowanych wokół metody włamania. Może to oznaczać tradycyjne metody hakerskie przechwytywania danych z bazy danych. Ale gdyby obejmowało przechwytywanie szczegółów, które klawisze nacisnęli na klawiaturze, wstrząsnęłoby fundamentem naszej cyfrowej infrastruktury finansowej do jej rdzenia.

Jeśli jest to, co pokazuje ten hack, to dlatego, że żyjemy w niezwykle wrażliwym świecie cyfrowym i hacki mogą pozostać niewykryte przez jakiś czas. Musimy więc zbudować systemy transferu finansowego, które integrują szyfrowanie na każdym etapie procesu.

Ten artykuł, napisany przez Billa Buchanana z The Cyber ​​Academy, Uniwersytet Edinburgh Napier, został pierwotnie opublikowany w The Conversation. Przeczytaj oryginalny artykuł.