בריטיש איירווייס האק: זה איך חברות לא צריך להתמודד עם הפרות נתונים

הכאוס נראה שלטונו של בריטיש איירווייס, שם האקרים גנבו את הפרטים של כ -380,000 הזמנות של לקוחות. היו כמה תגובות עניות על cyberattacks על חברות גדולות בעבר, אבל הפעולות של חברת התעופה, במקרה זה, יכול להיות אחד החלשים בהיסטוריה האחרונה. חלק זה עשוי להיות משום שחברות נדרשות כעת על ידי האיחוד האירופי לדווח על התקפות סייבר תוך 72 שעות, ומכיוון שמידע עדיין עשוי להיות מנוכה בשל חקירה פלילית מתמשכת.

לאחר שהחברה חוותה בעיות חשמל במערכות ה- IT שלה במאי 2018, הייתם חושבים שב- BA יפעלו כעת כדי להגיב לאירועי מחשב מהר יותר ובצורה עקבית. אבל זה גרזן האחרונה נראה להראות קטלוג של הזדמנויות החמיצו.

ראשית, את גרזן נראה נמשך יותר משבועיים, המשפיעים על הזמנות שנעשו בין 21 אוגוסט ו -5 בספטמבר. למרות שזה אומר כי לא כל לקוחות BA נמצאים בסיכון - רק מי עשה הזמנות בתקופה זו - זה גם לא ברור עדיין בדיוק מי כבר נפגעו לרעה ואם הם יאבדו כסף כתוצאה מכך.

כאשר גרזן התגלה לבסוף, BA לא בתחילה לספק מספיק מידע קוהרנטי וחזק על היקף בפועל של הנתונים שצולמו. ההצהרה העיקרית של החברה על גרזן הגדירה את הנתונים שלא נכללו - דרכון ופרטי נסיעה - אך לא פירט כי פרטי כרטיס הבנק היו מעורבים, במקום לייעץ ללקוחות ליצור קשר עם הבנקים שלהם. זה נראה כמו מנסה לשים ספין חיובי על חדשות רעות מאוד, ופירוש הדבר כי גניבה פוטנציאלית של מה הלקוחות מודאגים ביותר - פרטי כרטיס שלהם - לא היה מודגש.

בסעיף השאלות הנפוצות בדף האינטרנט של ההצהרה נאמר: "שמות, כתובות וכל פרטי כרטיס הבנק היו כולם בסיכון". אבל זה לא נתן את הפרטים בפועל של גרזן, כגון אם CVV (ערך אימות כרטיס) קודי אבטחה שנמצאו על גב הכרטיסים נחשפו, למרות BA מאוחר יותר סיפק מידע זה לתקשורת. כדי לא לגלות אם פרטי הבנק היו מוצפנים או לא, משאיר יותר מדי שאלות עדיין להיות ענה.

כדי להיות בטוח, BA מייעצת לכל הלקוחות המושפעים לבטל את הקלפים שלהם. זה הוביל בתחילה סתומים הטלפון קווי טלפון בשל המספר העצום של לקוחות מושפעים. למרבה הצער, כרגע, לא ברור בדיוק מי אכן נפגע שלילי. מספר לקוחות כבר דיווחו על הונאה בכרטיס שלהם.

טבעה של הברך של התגובה היה ככל הנראה עקב הרגולציה הכללית החדשה של האיחוד האירופי להגנה על נתונים (GDPR), האומרת כי הפרות נתונים מסוג זה יש לדווח תוך 72 שעות מהגילוי.

מנכ"ל BA, אלכס קרוז, אמר ל- BBC כי החברה גילתה את גרזן ביום רביעי בערב, ויצרה קשר עם כל הלקוחות המושפעים עד יום חמישי בלילה. "הדבר הראשון היה לברר אם זה משהו רציני ומי הוא השפיע או לא. ברגע שהנתונים האמיתיים של הלקוחות נפגעו, אז התחלנו תקשורת מיידית ללקוחות שלנו ", אמר.

הוא הוסיף: "אנו מחויבים לעבוד עם כל לקוח אשר עלול להיות מושפע כלכלית על ידי התקפה זו, ואנו לפצות אותם על כל מצוקה כלכלית שהם עלולים לסבול."

אנחנו צריכים להיות אסירי תודה, כי הודות לתמ"ג, האירוע היה לפחות לפומבי במהירות. דיווח סוכנות האשראי Equifax לקח שלושה חודשים כדי לדווח על הפרת הנתונים שלה בשנת 2017, שבמהלכו מנהלים בכירים מכר מניות בחברה, אם כי חקירה פנימית פינה אותם כל פנים או מסחר לא הולם, ואמר שהם לא היו מודעים לאירוע כאשר הם עשו את עסקאות.

דידו הרדינג, מנכ"ל חברת הטלקום טלקטק, סיפק את אחת הדוגמאות הטובות ביותר לאיך לא להגיב על הפרת נתונים. לאחר שהחברה נפרצה ב -2015, הרדינג הופיעה בטלוויזיה וטוענת שהלקוחות צריכים לסמוך על אימיילים מכתובות TalkTalk, ואשר הכילו קישורים דרך האתר של TalkTalk. אלה הם הבינו עכשיו להיות טכניקות סטנדרטיות בשימוש על ידי הרמאים לשכנע את הלקוחות שלהם הם אמיתיים.

השפעה ארוכת טווח של הפרת הנתונים

הקנס המרבי בגין הפרת נתונים של החברה תחת התמ"ג הוא 4% מהמחזור העולמי. בשנת 2017, מחזור של BA היה מעל 12 מיליארד ליש"ט, כך שאם החברה נפגע עם קנס כזה זה יכול להיות מעל £ 480m, אם כי האיחוד האירופי עדיין לא עשה שום אינדיקציה אם גרזן יכול להוביל קנס. BA כבר הציע פיצוי עבור לקוחות שנפגעו האירוע, אשר עשוי להגיע כמויות משמעותיות במיוחד כאשר לקוחות רבים אשר BA התראה על האירוע לא נאמר אם פרטי הכרטיס שלהם נגנב בפועל.

כמו בדוגמאות אחרות של הפרות נתונים מסחריים, הדיווח הראשוני פגע במחיר המניה של החברה. שווי השוק של קבוצת האם של BA - International Consolidated Airlines Group - הושתק בתחילה ב -3.8%. אבל זה אולי את ההשפעה על אמון הלקוח כי יהיה הכי הרבה נזק.

נכון לעכשיו, פרטים מעטים פורסמו סביב השיטה של ​​גרזן. אז זה עשוי להיות כרוך בשיטות פריצה מסורתיות של לכידת נתונים ממסד נתונים. אבל אם זה היה כרוך פרטים ללכוד על אילו מפתחות משתמשים לוחצים על המקלדת שלהם, זה היה לנער את הבסיס של התשתית הפיננסית הדיגיטלית שלנו הליבה שלה.

אם יש דבר אחד כי זה גרזן מראה, זה כי אנו חיים בעולם דיגיטלי שביר מאוד שבו פריצות יכול ללכת unetected במשך זמן מה. אז אנחנו צריכים לבנות מערכות העברת כספים המשלבים הצפנה בכל שלב של התהליך.

מאמר זה, שנכתב על ידי ביל ביוקנן מהאקדמיה הקיברנטית, אוניברסיטת אדינבורו נאפייר, פורסם במקור על השיחה. קרא את המאמר המקורי.