Компания Cathay Pacific получила штраф в размере 500 000 фунтов стерлингов от британского сторожевого таймера за ошибки в безопасности, которые раскрыли личные данные примерно 9,4 миллиона клиентов по всему миру, из которых 111 578 были из Великобритании.
Наказание, которое является максимально возможным штрафом согласно соответствующему законодательству Великобритании, было объявлено сегодня Управлением комиссара по информации (ICO) после многомесячного расследования. Это относится к нарушению, раскрытому авиакомпанией осенью 2018 года,
В то время Cathay Pacific заявила, что впервые обнаружила несанкционированный доступ к своим системам в марте, хотя и не объяснила, почему для публичного раскрытия нарушения потребовалось более шести месяцев.
Неспособность защитить свои системы привела к несанкционированному доступу к личным данным пассажиров, включая имена, паспортные и идентификационные данные, даты рождения, почтовые адреса и адреса электронной почты, номера телефонов и историческую туристическую информацию.
Сегодня ICO заявила, что самой ранней датой несанкционированного доступа к системам Cathay Pacific было 14 октября 2014 года. Хотя самой ранней известной датой несанкционированного доступа к личным данным было 7 февраля 2015 года.
«ICO обнаружила, что системы Cathay Pacific были введены через сервер, подключенный к Интернету, и было установлено вредоносное ПО для сбора данных», – пишет регулятор пресс-релиздобавив, что он обнаружил «каталог ошибок» в ходе расследования, включая файлы резервных копий, которые не были защищены паролем; непропатченные интернет-серверы; использование операционных систем, которые больше не поддерживаются разработчиком; и неадекватная антивирусная защита.
Поскольку системы Cathay были скомпрометированы в результате этого нарушения, Великобритания перенесла обновление в Европейский Союз Структура защиты данных включена в ее национальное законодательство, которое предусматривает строгие требования о раскрытии информации о нарушениях, связанных с персональными данными, и требует, чтобы контролеры данных информировали национальные регуляторные органы в течение 72 часов после того, как им стало известно о нарушении.
Общее положение о защите данных (GDPR) также включает в себя гораздо более существенный режим штрафов – с штрафами, которые могут достигать 4% мирового годового оборота.
Однако из-за сроков несанкционированного доступа ICO сочла это нарушение подпадающим под действие предыдущего британского законодательства о защите данных.
В рамках GDPR авиакомпания, вероятно, столкнулась бы со значительно большим штрафом.
Комментируя наказание Cathay Pacific в своем заявлении, Стив Экерсли, директор по расследованиям ICO, сказал:
Люди справедливо ожидают, что, предоставляя свои личные данные компании, эти данные будут надежно защищены, чтобы гарантировать их защиту от любого потенциального вреда или мошенничества. Это просто не тот случай здесь.
Это нарушение было особенно актуальным, учитывая количество основных несоответствий безопасности в системе Cathay Pacific, что облегчало доступ хакерам. Многочисленные серьезные недостатки, которые мы обнаружили, упали значительно ниже ожидаемого стандарта. По своей сути, авиакомпания не выполнила четыре из пяти основных указаний Национального центра кибербезопасности.
В соответствии с законодательством о защите данных организации должны иметь надлежащие меры безопасности и надежные процедуры, чтобы гарантировать, что любая попытка проникновения в компьютерные системы будет сделана как можно более трудной.
Получив комментарии, авиакомпания вновь выразила сожаление по поводу нарушения данных и заявила, что предприняла шаги по повышению своей безопасности «в области управления данными, безопасности сети и контроля доступа, обучения и осведомленности сотрудников, а также оперативности реагирования на инциденты».
«Значительные суммы были потрачены на ИТ-инфраструктуру и безопасность за последние три года, и инвестиции в эти области будут продолжаться», – говорится в заявлении Cathay Pacific. «Мы тесно сотрудничали с ICO и другими соответствующими органами в их расследованиях. Наше расследование показало, что нет никаких доказательств того, что какие-либо личные данные использовались до настоящего времени. Тем не менее, мы понимаем, что в современном мире, поскольку уровень сложности кибер-атак продолжает расти, нам необходимо и будет продолжать инвестировать и развивать наши системы информационной безопасности ».
«Мы будем продолжать сотрудничать с соответствующими органами власти, чтобы продемонстрировать наше соответствие и нашу постоянную приверженность защите персональных данных», – добавил он.
Прошлое лето ICO нанесла удар по другой авиакомпании, British Airways, с гораздо более существенным штрафом за нарушение, которое привело к утечке данных о 500 000 клиентов, а также в результате нарушений безопасности.
В этом случае авиакомпания столкнулась с рекордным штрафом в размере 183,39 млн фунтов стерлингов – на общую сумму 1,5% от общей выручки за 2018 год – поскольку время нарушения произошло, когда применялся GDPR.