Одна из крупнейших утечек данных в корпоративной истории Великобритании была закрыта регулирующими органами не на ура, а с хныканьем – в результате Covid-19. Сегодня Управление комиссара по информации Великобритании объявило о наложении штрафа на British Airways на 20 миллионов фунтов стерлингов за утечку личных данных более чем 400 000 клиентов после двухмесячной кибератаки и недостаточной безопасности. обнаруживать и защищаться от него. Первоначально планировалось оштрафовать BA почти на 184 миллиона фунтов стерлингов, но оно уменьшило штраф в свете экономических последствий, с которыми BA (как и другие авиакомпании) столкнулся в результате Covid-19.
Существенное сокращение штрафа подчеркивает, какое влияние эпидемия COVID-19 оказывает на нормативные положения. В некоторых случаях, чтобы быстрее решать проблемы, которые могут повлиять на рост бизнеса, мы видели, как регулирующие органы пытаются ускорить свою реакцию и даже оставляют некоторые предыдущие оговорки в отношении действий зеленого света, как в случае с электронными скутерами.
Но в случае штрафа BA мы видим обратную сторону воздействия Covid-19: регулирующие органы занимают менее жесткую позицию в отношении штрафов в отношении компаний, которые уже находятся в затруднительном положении. Это вызывает вопросы о том, насколько важны их решения и какой прецедент они создают для будущего пренебрежения безопасностью и защитой данных.
Даже с уменьшенным размером штрафа ICO придерживается своих первоначальных выводов:
«Люди, доверившие свои личные данные BA и BA, не приняли адекватных мер для обеспечения безопасности этих данных», – заявила комиссар по информации Элизабет Денхэм в заявлении. «Их бездействие было неприемлемым и затронуло сотни тысяч людей, что, возможно, вызвало беспокойство и беспокойство в результате. Вот почему мы наложили на BA штраф в размере 20 миллионов фунтов стерлингов – самый крупный на сегодняшний день. Когда организации принимают неверные решения в отношении личных данных людей, это может реально повлиять на жизнь людей. Теперь закон дает нам инструменты, которые побуждают компании принимать более обоснованные решения в отношении данных, включая инвестиции в современные системы безопасности ».
Штраф является самым высоким за всю историю ICO. Но это серьезный шаг вниз по сравнению с штрафом в 184 миллиона фунтов стерлингов – 1,5% выручки BA в 2018 календарном году – который регулятор первоначально установил в прошлом году. Это было, конечно, до того, как разразилась эпидемия COVID-19, остановившая мировые путешествия и поставившая многие авиакомпании на колени. Первоначальный заказ прошел процедуру апелляции, которая включала оценку состояния компании на текущем рынке.
«В июне 2019 года ICO выпустило BA с уведомлением о намерении наложить штраф», – говорится в заявлении ICO о снижении штрафа. «В рамках процесса регулирования ICO рассмотрело как заявления BA, так и экономическое влияние COVID-19 на их бизнес, прежде чем установить окончательный штраф».
Основные факты результатов расследования остались прежними: ICO определило, что у BA были «слабые места в своей безопасности», которые можно было предотвратить с помощью систем безопасности – процедур и программного обеспечения – которые были доступны в то время.
В результате произошла утечка данных 429 612 клиентов и сотрудников, включая «имена, адреса, номера платежных карт и номера CVV 244 000 клиентов BA», – заявило ICO, добавив, что объединенные номера карт и CVV 77 000 клиентов и только номера карт для 108000 клиентов также считались частью взлома, а также имена пользователей и пароли учетных записей сотрудников и администраторов BA, а также имена пользователей и PIN-коды до 612 учетных записей BA Executive Club (последние два также не были полностью проверены , похоже, что это).
Вдобавок к этому, BA никогда не обнаружил атаку, заявив, что она была уведомлена о взломе третьей стороной.
ICO заявило, что его действия были одобрены другими DPA в Европейском союзе: это связано с тем, что атака произошла, когда Великобритания еще находилась в ЕС, и поэтому расследование было проведено ICO от имени властей ЕС. сказал.