Rekordbüntetés fenyegeti a British Airwayst (BA), miután tavaly nyáron hozzávetőleg félmillió utasának személyes adatait lophatták el egy hetekig tartó hackertámadásban.
A brit információs kormánybiztos hivatala (ICO) – amelynek hatáskörébe tartoznak az adatvédelmi ügyek is – bejelentette, hogy 183,39 millió font (több mint 66 milliárd forint) bírság kiszabását javasolja a brit nemzeti légitársaságnak számító cégre.
Az ICO közleménye szerint az egy évvel ezelőtti kibertámadás részeként a BA honlapját felkereső felhasználókat a hackerek egy másik, hamis honlapra irányították át, és az utasok ide feltöltött adatait ellopták.
A hivatal számításai szerint a British Airways hozzávetőleg 500 ezer utasának személyes adatai – köztük nevek, lakcímek, bejelentkezési kódok, bankkártya-adatok – kerülhettek illetéktelen kezekbe.
Az ICO szerint mindezt a BA gyengén kidolgozott kiberbiztonsági rendszere tette lehetővé.
Elizabeth Denham információs kormánybiztos a vizsgálati eredményről és a bírságra tett javaslatról szóló hétfői közleményben hangsúlyozta: a személyes adatokat nem véletlenül hívják személyesnek, és ha egy szervezet nem képes megvédeni ezeket az adatokat a károkozástól vagy a lopástól, az nem tekinthető pusztán kényelmetlenségnek az érintettek szempontjából.
A BA tavaly szeptember 6-án jelentette be, hogy a vállalat online foglalási rendszerét augusztus 21-én, közép-európai idő szerint 23:58 órától szeptember 5-én 22:45 percig – vagyis több mint két hétig – tartó hackertámadás érte.
A British Airways akkori beszámolójában az szerepelt, hogy az incidens 380 ezer utast érintett.
Az ICO hétfőn ismertetett vizsgálati jelentése szerint azonban a támadás valójában már tavaly júniusban elkezdődött, és az érintett utasok száma elérte a félmilliót.
A BA tavaly szeptemberi közleményében hangsúlyozta, hogy mindenki, aki az incidens miatt anyagi kárt szenvedett, teljes kártérítésben részesül, és a British Airways kifizeti ügyfelei banki adósminőség-vizsgálati költségeit is.
Az ügyben a brit Országos Bűnüldözési Ügynökség (National Crime Agency, NCA) és a brit Országos Kiberbiztonsági Központ (National Cyber Security Centre, NCSC) is vizsgálatot folytat.
Alex Cruz, a British Airways elnök-vezérigazgatója hétfőn közölte, hogy “meglepetéssel és csalódottsággal” értesült az információs kormánybiztosi hivatal pénzbírság-javaslatáról.
Cruz szerint a BA gyorsan reagált az utasok adatainak ellopását célzó támadásra, és saját vizsgálata során nem talált bizonyítékot arra, hogy az érintett felhasználói adatokkal bárki visszaélt volna.
Az ICO az új európai uniós adatvédelmi előírások (GDPR) alapján az érintett cégek éves bevételének 4 százalékáig terjedő pénzbüntetést kezdeményezhet hasonló esetekben. A BA-re kiszabni javasolt 183,39 millió fontos bírság a légitársaság által a 2017-2018-as pénzügyi évről jelentett éves bevétel másfél százalékának felel meg.A cégvezető bejelentette, hogy a BA fellebbez a javasolt bírság ellen.
A brit információs kormánybiztosi hivatal által eddig kirótt legnagyobb pénzbírság 500 ezer font volt. Ezt tavaly októberben a Facebook közösségi portálra szabta ki a hatóság, miután kiderült, hogy a Cambridge Analytica nevű, londoni székhelyű – azóta felszámolt – brit-amerikai politikai elemző és tanácsadó cég a 2016-os amerikai elnökválasztási kampányban csaknem 90 millió Facebook-felhasználó adatainak megszerzésével próbált képet alkotni a célba vett amerikai választók politikai beállítottságáról, tudtuk nélkül.
