British Airways оштрафована на £20 млн из-за ненадлежащей защиты клиентской базы

Управление уполномоченного по информации (ICO) Великобритании оштрафовало национального авиаперевозчика British Airways на 20 миллионов фунтов за операции с пользовательскими данными без принятия надлежащих мер безопасности, в результате чего под угрозой оказались более 429 тысяч человек.

Как сообщается на сайте регулятора, санкция наложена по результатам расследования хакерской атаки на авиакомпанию, имевшей место в 2018 году.

Тогда взломщикам удалось получить доступ к личной и финансовой информации клиентов и сотрудников British Airways, осуществлявших операции через официальный сайт или приложение компании в период с 25 августа по 5 сентября 2018 года. Сведения содержали имена, адреса, номера карт и их CVV.

После этого инцидента ICO инициировало масштабную проверку компании и пришла к заключению, что она нарушила сразу несколько действующий на территории Великобритании законов в сфере охраны персональных данных пользователей электронных платформ.

Среди мер, которые могла бы предпринять компания, указываются: повышение уровня безопасности приложения, моделирование кибератаки на бизнес-системы с целью их тестирования, введение многофакторной аутентификации для учетных записей сотрудников и третьих лиц.

В докладе регулятора подчеркивается, что, если бы British Airways решила обозначенные проблемы заблаговременно, у хакеров бы не осталось возможности проникнуть в систему и получить доступ к информации о клиентах тем образом, как они это сделали в 2018 году.

«Их бездействие было неприемлемым и затронуло сотни тысяч людей, что, возможно, вызвало определенную тревогу и беспокойство. Когда организации принимают неверные решения в отношении личных данных людей, это может существенным образом повлиять на их жизнь», — заявила Уполномоченная по вопросам информации Элизабет Денхем.

Поскольку нарушение компанией имело место в июне 2018 года (до начала переходного периода Brexit), ICO провело расследование от имени всех органов Евросоюза, но в качестве ведущего надзорного органа в соответствии с Общим регламентом по защите данных (GDPR).

При этом в 2019 году стало известно о намерении ICO наложить существенно больший штраф на компанию — 183,4 миллиона фунтов. Причина изменения позиции не указывается.