British Airways (dalej BA) zostało ukarane za przetwarzanie znaczącej ilości danych osobowych bez zapewnienia odpowiednich środków zabezpieczających, co stanowiło naruszenie przepisów RODO oraz doprowadziło do naruszenia ochrony danych osobowych – w 2018 roku BA stało się ofiarą ataku hackerskiego, który nie był wykryty przez ponad dwa miesiące (BA dowiedziało się o ataku od strony trzeciej).
Kontrolujący z ICO stwierdzili, iż wykryte słabości w systemie bezpieczeństwa powinny zostać wcześniej zidentyfikowane, a następnie usunięte za pośrednictwem dostępnych w tym czasie środków zabezpieczających. Takie działanie mogło ochronić BA przed atakiem hackerskim.
Komisarz ds. Informacji Elizabeth Denham z ICO stwierdziła, iż naruszenie przepisów RODO było niedopuszczalne i dotknęło setek tysięcy ludzi. Złe decyzje podejmowane przez BA w procesach przetwarzania danych osobowych mogą mieć bezpośrednio negatywny wpływ na życie osób, których dane dotyczą.
W 2019 roku BA otrzymało od brytyjskiego organu nadzorczego zawiadomieniu o planowanym ukaraniu. 16 października 2020 roku na stronie brytyjskiego organu nadzorczego pojawiła się informacja o ukaraniu linii lotniczych 20 mln £ kary.
Szczegóły ataku hackerskiego
22 czerwca 2018 przestępca (brak informacji o tożsamości sprawcy oraz o tym czy działał sam czy w grupie), w bliżej nieznany sposób, uzyskał dostęp do 4 kont użytkowników oprogramowania CAG odpowiedzialnego za zdalny dostęp do sieci i oprogramowania BA. Skompromitowane konta należały do pracowników podmiotu trzeciego będącego dostawcą usług załadunkowych.
Posiadając dostęp do sieci BA atakujący stopniowo poszerzał swoje uprawnienia w infrastrukturze IT:
- najpierw atakujący uzyskał dostęp do pliku zawierającego nazwy użytkowników i haseł, w tym login’u i hasła konta administratora domeny BA (dane służące do logowania były przechowywane bez zabezpieczenia w formie tzw. „plain text”);
- następnie posiadając dostęp administratora, atakujący logował się do różnych serwerów w poszukiwaniu wartościowych danych;
- 26 czerwca 2018 roku przestępca uzyskał dostęp do niezaszyfrowanych log’ów zawierających dane dotyczące płatności, w tym numery kard kredytowych oraz numery CVV (dane dotyczące około 108 000 kard kredytowych).
Do naruszenia mogłoby nie dojść, gdyby BA m. in.:
- lepiej zarządzało współpracą z dostawcami usług, np. lepsza ocena ryzyka, ograniczenie zaufania, audyty kontrolne, monitoring zgodności z przepisami prawa i standardami bezpieczeństwa (ICO jako standard zarządzania ryzykiem wskazało m. in. wytyczne opracowane przez National Cyber Security Council);
- zastosowało wielopoziomowe uwierzytelnienie do oprogramowania umożliwiającego pracę zdalną – oprócz podania danych do logowania, użytkownik powinien (w kolejnych etapach) podawać uzyskany kod lub frazę, np. dostarczone via SMS;
- dane dotyczące loginów i haseł oraz logi zawierające wrażliwe informacje były przechowywane w sposób bezpieczny.
Więcej informacji o decyzji znaleźć można w opublikowanej przez organ nadzorczy decyzji.