British Airways Hack: tas ir tas, kā uzņēmumiem nevajadzētu rīkoties ar datu pārkāpumiem

Šķiet, ka Chaos valda British Airways, kur hakeri nozaga aptuveni 380 000 klientu rezervāciju. Agrāk ir bijušas sliktas atbildes uz kiberuzbrukumiem par lielajiem uzņēmumiem, bet aviosabiedrības rīcība šajā gadījumā varētu būt viena no vājākajām nesenajā vēsturē. Daļa no tā var būt tāpēc, ka uzņēmumiem tagad ES ir pienākums 72 stundu laikā ziņot par kiberuzbrukumiem, un tāpēc, ka pašreizējā kriminālizmeklēšanā joprojām var aizkavēt informāciju.

Pēc tam, kad uzņēmums 2018. gada maijā piedzīvoja enerģijas problēmas IT sistēmās, jūs domājat, ka BA tagad ir izstrādāti plāni, lai ātrāk un saskaņotāk reaģētu uz datoru incidentiem. Šķiet, ka šis jaunākais sacietējums parāda izlaistu iespēju katalogu.

Pirmkārt, izskats ir ilga vairāk nekā divas nedēļas, ietekmējot rezervācijas, kas veiktas no 21. augusta līdz 5. septembrim. Lai gan tas nozīmē, ka ne visi BA klienti ir pakļauti riskam - tikai tiem, kas šajā laikā ir rezervējuši - tas vēl nav skaidrs tieši to, kas ir negatīvi ietekmējis un vai viņi zaudēs naudu.

Pēc tam, kad beidzot tika atklāts kapāt, BA sākotnēji nesniedza pietiekamu un saskaņotu informāciju par faktisko veikto datu apjomu. Uzņēmuma galvenais paziņojums par hack definēja datus, kas nebija iekļauti - pase un ceļojuma informācija -, bet nav precizēts, ka ir iesaistītas bankas karšu detaļas, bet gan ieteica klientiem sazināties ar savām bankām. Šķiet, ka tas mēģina likt pozitīvu spin uz ļoti sliktām ziņām, un tas nozīmē, ka iespējamā zādzība par to, ko klienti visvairāk uztrauc - to kartes dati - netika izcelta.

Paziņojuma tīmekļa lapas biežāk uzdotajās sadaļās tā norādīja, ka: “Vārdi, adreses un visas bankas karšu detaļas bija apdraudētas.” Taču tas nenorādīja faktisko informāciju par hack, piemēram, vai CVV (kartes verifikācijas vērtība) tika atklāti drošības kodi, kas atrodami karšu aizmugurē, lai gan BA vēlāk šo informāciju nosūtīja plašsaziņas līdzekļiem. Lai neatklātu, vai bankas rekvizīti ir šifrēti vai nē, jāatbild pārāk daudz jautājumu.

Lai būtu drošs, BA iesaka visiem skartajiem klientiem atcelt savas kartes. Sākotnēji tas izraisīja banku telefona līniju aizsērēšanu, jo skarto klientu skaits bija liels. Diemžēl pašlaik nav skaidrs, kas tieši ir negatīvi ietekmējis. Vairāki klienti jau ir ziņojuši par krāpšanu savās kartēs.

Iespējams, ka reakcijas ceļš bija saistīts ar ES jauno vispārējo datu aizsardzības regulējumu (GDPR), kurā teikts, ka šāda veida datu pārkāpumi jāziņo 72 stundu laikā pēc atklāšanas.

BA izpilddirektors Alex Cruz BBC paziņoja, ka uzņēmums trešdien vakarā atklāja hakeru un ceturtdienas vakarā sazinājās ar visiem skartajiem klientiem. “Pirmā lieta bija noskaidrot, vai tas bija kaut kas nopietns un kas tas ietekmēja vai nē. Kad faktiskie klienta dati tika apdraudēti, mēs sākām tūlītēju komunikāciju ar mūsu klientiem, ”viņš teica.

Viņš piebilda: „Mēs esam apņēmušies strādāt ar jebkuru klientu, kurš var būt finansiāli ietekmējis šo uzbrukumu, un mēs kompensēsim viņiem jebkādas finansiālas grūtības, ko viņi varēja ciest.”

Mums vajadzētu būt pateicīgiem, ka, pateicoties GDPR, incidents tika vismaz ātri publiskots. Kredītreitingu aģentūra Equifax pagāja trīs mēnešus, lai ziņotu par savu datu aizsardzības pārkāpumu 2017. gadā, kura laikā vadītāji pārdeva uzņēmuma akcijas, lai gan iekšējās izmeklēšanas gaitā tika konstatēta jebkāda iekšēja vai neatbilstoša tirdzniecība, sakot, ka viņi nebija informēti par šo incidentu, kad viņi izdarīja tirdzniecība.

Telekomunikāciju firmas TalkTalk izpilddirektors Dido Hardings sniedza vienu no labākajiem piemēriem, kā nereaģēt uz datu aizsardzības pārkāpumu. Pēc tam, kad uzņēmums 2015. gadā bija hackēts, „Harding” parādījās televīzijā, norādot, ka klientiem vajadzētu uzticēties e-pastiem no TalkTalk adresēm un kas satur saites uz TalkTalk tīmekļa vietni. Tagad tos saprot kā standarta metodes, ko scammers izmanto, lai pārliecinātu klientus, ka viņu e-pasta vēstules ir īstas.

Datu pārkāpuma ilgtermiņa ietekme

Maksimālais naudas sods par uzņēmuma DDPR pārkāpumiem ir 4% no pasaules apgrozījuma. 2017. gadā BA apgrozījums pārsniedza 12 miljardus sterliņu mārciņu, tāpēc, ja uzņēmumam tiktu piemērots šāds naudas sods, tas varētu būt lielāks par £ 480 miljoniem, lai gan ES vēl nav norādījusi, vai tas var izraisīt naudas sodu. BA jau ir piedāvājusi kompensāciju par negadījuma skartajiem klientiem, kas var sasniegt ievērojamas summas, jo īpaši tāpēc, ka daudzi klienti, kuri BA brīdināja par incidentu, nav informējuši, vai viņu karšu dati patiešām ir nozagti.

Tāpat kā citos komercdatu pārkāpumu piemēros, sākotnējais pārskats ir ietekmējis uzņēmuma akciju cenu. Sākotnēji BA mātes grupas - Starptautisko konsolidēto aviosabiedrību grupas - tirgus vērtība bija 3,8%. Bet vislielāko kaitējumu var ietekmēt arī klientu uzticība.

Pašlaik ir izlaista tikai dažas detaļas, kas saistītas ar hakeru metodi. Tātad tas var ietvert tradicionālas datu sagūstīšanas metodes no datu bāzes. Bet, ja tā ietvēra detalizētu informāciju par to, kuras atslēgas lietotāji nospiež uz tastatūras, tas sakustētu mūsu digitālās finanšu infrastruktūras pamatu.

Ja ir viena lieta, ko tas parāda, tas ir, ka mēs dzīvojam ārkārtīgi trauslā digitālajā pasaulē un kur hacks var kādu laiku neatklāt. Tāpēc mums ir jāizveido finanšu pārskaitījumu sistēmas, kas integrē šifrēšanu katrā procesa posmā.

Šis raksts, ko rakstījis Bill Buchanan no Cyber ​​Academy, Edinburgas Napieras universitāte, sākotnēji tika publicēts sarunā. Izlasiet sākotnējo rakstu.