Britské aerolinie Hack: To je to, jak by společnosti neměly zpracovávat porušení dat

Chaos vypadá, že panuje v British Airways, kde hackeři ukradli podrobnosti o 380 000 zákaznických rezervacích. V minulosti došlo k určitým špatným reakcím na kybernetické útoky na velké společnosti, ale akce letecké společnosti by v tomto případě mohla být v nedávné historii nejslabší. To může být způsobeno tím, že EU nyní požaduje, aby společnosti informovaly o kybernetických útocích do 72 hodin, a proto, že v důsledku probíhajícího vyšetřování trestných činů mohou být informace stále zadržovány.

Poté, co společnost v květnu 2018 zažila problémy s energií v rámci svých IT systémů, myslíte si, že by BA nyní měla plány, které by umožnily rychleji a soudržněji reagovat na počítačové incidenty. Zdá se však, že tento poslední hack ukazuje katalog zmeškaných příležitostí.

Za prvé, hack vypadá, že trval déle než dva týdny, což ovlivnilo rezervace uskutečněné mezi 21. srpnem a 5. zářím. Ačkoli to znamená, že ne všichni zákazníci BA jsou ohroženi - právě ti, kteří si rezervovali během tohoto období - to ještě není jasné přesně to, kdo byl negativně ovlivněn, a zda v důsledku toho ztratí peníze.

Když se konečně objevil hack, BA zpočátku neposkytla dostatek koherentních a důkladných informací o skutečném rozsahu získaných dat. Hlavní prohlášení společnosti o hacku definovalo údaje, které nebyly zahrnuty - údaje o cestovních pasech a cestovních údajích - ale neuvádí, že se jedná o údaje o bankovní kartě, ale radíme zákazníkům, aby kontaktovali své banky. Vypadá to, že se pokoušíme pozitivně ovlivnit velmi špatné zprávy, a znamená to, že potenciální krádež toho, o čem se zákazníci nejvíce obávají - jejich detaily karty - nebyla zdůrazněna.

V sekci často kladených otázek na webové stránce prohlášení uvedl, že: „Jména, adresy a všechny údaje o bankovních kartách jsou v ohrožení.“ To však nedávalo skutečné podrobnosti o hacku, například zda CVV (hodnota ověření karty) bezpečnostní kódy nalezené na zadní straně karet byly odhaleny, ačkoli BA později tyto informace poskytl médiím. Pokud nechceme odhalit, zda byly bankovní údaje šifrovány nebo ne, ponechává příliš mnoho otázek na zodpovězení.

Být na bezpečné straně, BA doporučuje všem postiženým zákazníkům zrušit své karty. Toto zpočátku vedlo k ucpání telefonních linek bank kvůli velkému počtu postižených zákazníků. V současné době bohužel není jasné, kdo byl skutečně negativně ovlivněn. Několik zákazníků již ohlásilo podvod na svých kartách.

Křehká povaha reakce byla pravděpodobně způsobena novým obecným nařízením EU o ochraně údajů (GDPR), které říká, že porušení tohoto druhu údajů musí být hlášeno do 72 hodin od zjištění.

Generální ředitel BA, Alex Cruz, řekl BBC, že společnost objevila hack ve středu večer a kontaktovala všechny postižené zákazníky ve čtvrtek večer. „První věcí bylo zjistit, jestli to bylo něco vážného a kdo to ovlivnilo nebo ne. V okamžiku, kdy došlo ke kompromitaci skutečných údajů o zákaznících, kdy jsme začali okamžitě komunikovat se zákazníky, “řekl.

Dodal: „Jsme odhodláni spolupracovat s jakýmkoliv zákazníkem, který by mohl být tímto útokem finančně zasažen, a my je budeme kompenzovat za jakékoli finanční potíže, které utrpěli.“

Měli bychom být vděčni, že díky GDPR byl incident přinejmenším rychle zveřejněn. Agentura pro vykazování úvěrů Equifax trvala tři měsíce, než oznámila své porušení dat v roce 2017, během kterého vedoucí pracovníci prodali akcie ve společnosti, ačkoli interní vyšetřování je zbavilo jakéhokoli zasvěceného nebo nevhodného obchodování. obchoduje.

Jedním z nejlepších příkladů, jak nereagovat na narušení dat, je Dido Harding, generální ředitel telekomunikační společnosti TalkTalk. Poté, co byla společnost v roce 2015 hacknuta, objevila se firma Harding v televizi, což naznačuje, že zákazníci by měli důvěřovat e-mailům z adres TalkTalk a obsahovali odkazy na webové stránky TalkTalk. Ty jsou nyní chápány jako standardní techniky používané podvodníky přesvědčit zákazníky jejich e-maily jsou originální.

Dlouhodobý dopad porušení dat

Maximální pokuta za narušení podnikových dat podle GDPR je 4% celosvětového obratu. V roce 2017 činil obrat BA více než 12 miliard liber, takže pokud by společnost byla zasažena takovou pokutou, mohla by to být více než 480 milionů liber, i když EU ještě neuvádí, zda by hack mohl vést k pokutě. BA již nabídla odškodnění pro zákazníky postižené incidentem, které mohou dosáhnout značných částek, zejména pokud mnoho zákazníků, kteří BA upozornili na incident, neřeklo, zda byly jejich údaje o kartě skutečně odcizeny.

Stejně jako v jiných příkladech porušování komerčních údajů zasáhlo počáteční vykazování cenu společnosti. Tržní hodnota mateřské skupiny BA - International Consolidated Airlines Group - byla zpočátku zatížena o 3,8 procenta. Ale to je možná vliv na důvěru zákazníků, která bude mít největší škody.

V současné době bylo zveřejněno několik podrobností o způsobu hacku. Může tedy zahrnovat tradiční hackerské metody získávání dat z databáze. Pokud by se však jednalo o zachycení podrobností o tom, které klíče uživatelé stiskli na klávesnici, otřáslo by to základem naší digitální finanční infrastruktury do jejího jádra.

Jestli je tu jedna věc, kterou tento hack ukazuje, je to tím, že žijeme v extrémně křehkém digitálním světě a tam, kde se hacky mohou nějakou dobu nedotknout. Musíme tedy vybudovat systémy finančního převodu, které integrují šifrování v každém jednotlivém kroku procesu.

Tento článek, napsaný Billem Buchananem z Cyber ​​Academy, Edinburgh Napier univerzita, byl původně publikován na The Conversation. Přečtěte si originální článek.