Rekordbüntetés fenyegeti a British Airwayst (BA), miután tavaly nyáron az illetékes hivatal vizsgálatának most közzétett eredménye szerint hozzávetőleg félmillió utasának személyes adatait lophatták el a hetekig tartó hackertámadásban.
Az adatvédelmi ügyekért is felelős brit információs kormánybiztos hivatala (ICO) hétfőn bejelentette, hogy 183,39 millió font (~204 millió euró, több mint 66 milliárd forint) bírság kiszabását javasolja a brit nemzeti légitársaságként számon tartott cégre.
A közlemény szerint az egy évvel ezelőtti kibertámadáskor a BA honlapját felkereső felhasználókat a hackerek egy másik, hamis honlapra irányították át, és az utasok ide feltöltött adatait ellopták.
A hivatal számításai szerint a British Airways hozzávetőleg 500 ezer utasának személyes adatai, köztük nevek, lakcímek, bejelentkezési kódok, bankkártya-adatok kerülhettek illetéktelen kezekbe.
Az információs kormánybiztos hivatala szerint a támadás a BA gyengén kidolgozott kiberbiztonsági rendszere miatt lehetett eredményes.
Elizabeth Denham információs kormánybiztos a vizsgálati eredményről és a bírságra tett javaslatról szóló hétfői közleményben azt hangsúlyozta: a személyes adatokat nem véletlenül hívják személyesnek.
Álláspontja szerint ha egy szervezet nem képes megvédeni ezeket az adatokat a károkozástól vagy a lopástól, az nem tekinthető pusztán kényelmetlenségnek az érintettek szempontjából.
A BA tavaly szeptember 6-án jelentette be, hogy a vállalat online foglalási rendszerét augusztus 21-én, közép-európai idő szerint 23:58 órától szeptember 5-én 22:45 percig – vagyis több mint két hétig – tartó hackertámadás érte.
A British Airways akkori beszámolójában az szerepelt, hogy az incidens 380 ezer utast érintett, a hivatal most ismertetett vizsgálati jelentése szerint azonban tavaly a támadás valójában előbb, már júniusban elkezdődött, és az érintettek száma elérte a félmilliót.
A BA tavaly szeptemberi közleményében hangsúlyozta, hogy mindenki, aki az incidens miatt anyagi kárt szenvedett, teljes kártérítésben részesül, és a British Airways kifizeti ügyfelei banki adósminőség-vizsgálati költségeit is.
Az ügyben a brit Országos Bűnüldözési Ügynökség (National Crime Agency, NCA) és a brit Országos Kiberbiztonsági Központ (National Cyber Security Centre, NCSC) is vizsgálatot folytat.
Alex Cruz, a British Airways elnök-vezérigazgatója hétfőn közölte, hogy „meglepetéssel és csalódottsággal” értesült az információs kormánybiztosi hivatal pénzbírság-javaslatáról. Szerint a BA gyorsan reagált az utasok adatainak ellopását célzó támadásra, és saját vizsgálata során nem talált bizonyítékot arra, hogy az érintett felhasználói adatokkal bárki visszaélt volna.
A cégvezető bejelentette, hogy a BA fellebbez a javasolt bírság ellen.
Az ICO az új európai uniós adatvédelmi előírások (GDPR) alapján az érintett cégek éves bevételének 4 százalékáig terjedő pénzbüntetést kezdeményezhet hasonló esetekben. A BA-re kiszabni javasolt 183,39 millió fontos bírság a légitársaság által a 2017-2018-as pénzügyi évről jelentett éves bevétel 1,5 százalékának felel meg.
A brit információs kormánybiztosi hivatal által eddig kirótt legnagyobb pénzbírság 500 ezer font volt. Ezt tavaly októberben a Facebook közösségi portálra szabta ki a hatóság, miután kiderült, hogy a Cambridge Analytica nevű, londoni székhelyű – azóta felszámolt – brit-amerikai politikai elemző és tanácsadó cég a 2016-os amerikai elnökválasztási kampányban csaknem 90 millió Facebook-felhasználó adatainak megszerzésével próbált képet alkotni a célba vett amerikai választók politikai beállítottságáról, az érintettek tudta nélkül.