British Airways Hack: To je, ako by spoločnosti nemali narábať s údajmi porušenie

Zdá sa, že Chaos na British Airways vládne, kde hackeri ukradli podrobnosti o 380 000 zákazníckych rezerváciách. V minulosti sa vyskytli určité zlé reakcie na kybernetické útoky na veľké spoločnosti, ale akcie leteckej spoločnosti by v tomto prípade mohli byť v posledných dejinách jedným z najslabších. Môže to byť spôsobené tým, že EÚ teraz požaduje, aby spoločnosti informovali o kybernetických útokoch do 72 hodín, a pretože informácie môžu byť naďalej zadržané v dôsledku prebiehajúceho vyšetrovania trestných činov.

Po tom, čo spoločnosť v máji 2018 zažila problémy s energiou v rámci svojich informačných systémov, myslíte si, že spoločnosť BA by teraz mala plány na rýchlejší a súdržnejší prístup k počítačovým incidentom. Zdá sa však, že tento najnovší hack ukazuje katalóg zmeškaných príležitostí.

Po prvé, hack vyzerá, že vydržal viac ako dva týždne, čo ovplyvnilo rezervácie uskutočnené medzi 21. augustom a septembrom 5. Hoci to znamená, že nie všetci zákazníci BA sú ohrození - len tí, ktorí si rezervovali počas tohto obdobia - to ešte nie je jasné presne to, kto bol negatívne ovplyvnený a či v dôsledku toho stratia peniaze.

Keď sa konečne objavil hack, BA pôvodne neposkytla dostatočné koherentné a spoľahlivé informácie o skutočnom rozsahu prijatých údajov. Hlavné vyhlásenie spoločnosti o hacke definovalo údaje, ktoré neboli zahrnuté - údaje o cestovnom pase a cestovaní -, ale neuviedli, že boli zahrnuté údaje o bankovej karte, namiesto toho, aby radili zákazníkom, aby kontaktovali svoje banky. Vyzerá to, že sa pokúšame pozitívnym spôsobom ovplyvniť veľmi zlé správy a že potenciálny krádež toho, o koho sa zákazníci najviac obávajú - ich detaily karty - nebol zvýraznený.

V časti často kladených otázok na webovej stránke vyhlásenia uviedla, že: „Mená, adresy a všetky údaje o bankových kartách boli v ohrození.“ Toto však neposkytlo skutočné podrobnosti o hacke, ako napríklad či CVV (hodnota overenia karty) bezpečnostné kódy nájdené na zadnej strane kariet boli odhalené, hoci BA neskôr tieto informácie poskytli médiám. Ak nechcete odhaliť, či boli bankové údaje zakódované alebo nie, ponecháva príliš veľa otázok na zodpovedanie.

Ak chcete byť na bezpečnej strane, BA odporúča všetkým postihnutým zákazníkom zrušiť svoje karty. To spočiatku viedlo k upchatiu bankových telefónnych liniek kvôli veľkému počtu postihnutých zákazníkov. V súčasnosti však nie je jasné, kto bol v skutočnosti negatívne ovplyvnený. Niekoľko zákazníkov už nahlásilo podvody na svojich kartách.

Reakcia kolenného záchvatu bola pravdepodobne spôsobená novým všeobecným nariadením EÚ o ochrane údajov (GDPR), ktoré hovorí, že takéto porušenia údajov sa musia oznámiť do 72 hodín od zistenia.

Generálny riaditeľ BA, Alex Cruz, povedal BBC, že spoločnosť objavila hack v stredu večer a kontaktovala všetkých postihnutých zákazníkov vo štvrtok večer. „Prvá vec bola zistiť, či to bolo niečo vážne a kto to ovplyvnil alebo nie. V momente, keď došlo ku kompromitovaniu skutočných údajov o zákazníkoch, kedy sme začali okamžite komunikovať s našimi zákazníkmi, “povedal.

Dodal: „Sme odhodlaní spolupracovať s akýmkoľvek zákazníkom, ktorí boli finančne ovplyvnení týmto útokom, a my ich kompenzujeme za akékoľvek finančné ťažkosti, ktoré mohli utrpieť.“

Mali by sme byť vďační, že vďaka GDPR sa incident aspoň rýchlo zverejnil. Agentúra pre vykazovanie úverov Equifax trvala tri mesiace na to, aby oznámila svoje porušenie údajov v roku 2017, počas ktorého vedúci pracovníci predávali akcie v spoločnosti, hoci interné vyšetrovanie ich zbavilo akéhokoľvek zasväteného alebo nevhodného obchodovania, keď povedali, že nevedeli o incidente, keď urobili obchody.

Jedným z najlepších príkladov toho, ako nereagovať na porušenie údajov, je Dido Harding, generálny riaditeľ telekomunikačnej spoločnosti TalkTalk. Po tom, čo bola spoločnosť v roku 2015 hacknutá, sa v televízii objavila spoločnosť Harding, v ktorej sa odporúča, aby zákazníci dôverovali e-mailom z adries TalkTalk a obsahovali odkazy na webové stránky TalkTalk. Tieto sú teraz chápané ako štandardné techniky používané podvodníkmi presvedčiť zákazníkov ich e-maily sú originálne.

Dlhodobý vplyv porušenia údajov

Maximálna pokuta za porušenie údajov spoločnosti podľa GDPR predstavuje 4% celosvetového obratu. V roku 2017 bol obrat spoločnosti BA vyšší ako 12 miliárd GBP, takže ak by bola spoločnosť taká pokuta zasiahnutá, mohla by byť vyššia ako 480 miliónov libier, hoci EÚ zatiaľ neuviedla, či by hack mohol viesť k pokutám. BA už ponúkla odškodnenie pre zákazníkov, ktorých sa incident týkal, čo môže dosiahnuť značné sumy, najmä preto, že mnohí zákazníci, ktorí BA upozornili na incident, nepovedali, či ich údaje o karte boli skutočne ukradnuté.

Rovnako ako v iných príkladoch porušenia obchodných údajov, počiatočné vykazovanie zasiahlo cenu akcií spoločnosti. Trhová hodnota materskej skupiny BA - International Consolidated Airlines Group - bola spočiatku znehodnotená o 3,8 percenta. Ale to je pravdepodobne vplyv na dôveru zákazníkov, ktorá bude mať najviac škody.

V súčasnosti sa okolo metódy hacku vydalo málo detailov. Môže teda zahŕňať tradičné hackerské metódy zachytávania údajov z databázy. Ale ak by to zahŕňalo zachytenie podrobností o tom, ktoré klávesy používatelia stlačili na klávesnici, otrasilo by to základy našej digitálnej finančnej infraštruktúry do jej jadra.

Ak existuje jedna vec, ktorú tento hack ukazuje, je to tým, že žijeme v mimoriadne krehkom digitálnom svete a že hacky môžu nejakú dobu zostať nezistené. Preto potrebujeme vybudovať systémy finančného prevodu, ktoré integrujú šifrovanie v každom jednotlivom kroku procesu.

Tento článok, ktorý napísal Bill Buchanan z Cyber ​​Academy, Univerzita v Edinburghu, bola pôvodne uverejnená na Konverzácii. Prečítajte si pôvodný článok.