Brtitish Airways ukarane 20 mln £ kary przez brytyjski organ nadzorczy

Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 19 października 2020

19

paź
2020

British Airways (dalej BA) zostało ukarane za przetwarzanie znaczącej ilości danych osobowych bez zapewnienia odpowiednich środków zabezpieczających, co stanowiło naruszenie przepisów RODO oraz doprowadziło do naruszenia ochrony danych osobowych – w 2018 roku BA stało się ofiarą ataku hackerskiego, który nie był wykryty przez ponad dwa miesiące (BA dowiedziało się o ataku od strony trzeciej).
Kontrolujący z ICO stwierdzili, iż wykryte słabości w systemie bezpieczeństwa powinny zostać wcześniej zidentyfikowane, a następnie usunięte za pośrednictwem dostępnych w tym czasie środków zabezpieczających. Takie działanie mogło ochronić BA przed atakiem hackerskim.
Komisarz ds. Informacji Elizabeth Denham z ICO stwierdziła, iż naruszenie przepisów RODO było niedopuszczalne i dotknęło setek tysięcy ludzi. Złe decyzje podejmowane przez BA w procesach przetwarzania danych osobowych mogą mieć bezpośrednio negatywny wpływ na życie osób, których dane dotyczą.
W 2019 roku BA otrzymało od brytyjskiego organu nadzorczego zawiadomieniu o planowanym ukaraniu. 16 października 2020 roku na stronie brytyjskiego organu nadzorczego pojawiła się informacja o ukaraniu linii lotniczych 20 mln £ kary.

Szczegóły ataku hackerskiego

22 czerwca 2018 przestępca (brak informacji o tożsamości sprawcy oraz o tym czy działał sam czy w grupie), w bliżej nieznany sposób, uzyskał dostęp do 4 kont użytkowników oprogramowania CAG odpowiedzialnego za zdalny dostęp do sieci i oprogramowania BA. Skompromitowane konta należały do pracowników podmiotu trzeciego będącego dostawcą usług załadunkowych.

Posiadając dostęp do sieci BA atakujący stopniowo poszerzał swoje uprawnienia w infrastrukturze IT:

  1. najpierw atakujący uzyskał dostęp do pliku zawierającego nazwy użytkowników i haseł, w tym login’u i hasła konta administratora domeny BA (dane służące do logowania były przechowywane bez zabezpieczenia w formie tzw. „plain text”);
  2. następnie posiadając dostęp administratora, atakujący logował się do różnych serwerów w poszukiwaniu wartościowych danych;
  3. 26 czerwca 2018 roku przestępca uzyskał dostęp do niezaszyfrowanych log’ów zawierających dane dotyczące płatności, w tym numery kard kredytowych oraz numery CVV (dane dotyczące około 108 000 kard kredytowych).

Do naruszenia mogłoby nie dojść, gdyby BA m. in.:

  • lepiej zarządzało współpracą z dostawcami usług, np. lepsza ocena ryzyka, ograniczenie zaufania, audyty kontrolne, monitoring zgodności z przepisami prawa i standardami bezpieczeństwa (ICO jako standard zarządzania ryzykiem wskazało m. in. wytyczne opracowane przez National Cyber Security Council);
  • zastosowało wielopoziomowe uwierzytelnienie do oprogramowania umożliwiającego pracę zdalną – oprócz podania danych do logowania, użytkownik powinien (w kolejnych etapach) podawać uzyskany kod lub frazę, np. dostarczone via SMS;
  • dane dotyczące loginów i haseł oraz logi zawierające wrażliwe informacje były przechowywane w sposób bezpieczny.

Więcej informacji o decyzji znaleźć można w opublikowanej przez organ nadzorczy decyzji.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.