British Airways Hack: Це не те, як компанії не повинні обробляти порушення даних

Хаос, здається, панує в British Airways, де хакери вкрали деталі близько 380 тис. Замовлень клієнтів. У минулому були негативні відповіді на кібератаки на великі компанії, але дії авіакомпанії, в даному випадку, можуть бути однією з найслабших у новітній історії. Частиною цього може бути те, що зараз ЄС вимагає від ЄС повідомляти про кібератаки протягом 72 годин, а тому, що інформація може бути призупинена через поточне кримінальне розслідування.

Після того, як компанія пережила енергетичні проблеми в своїх IT-системах у травні 2018 року, ви могли б подумати, що зараз BA матиме плани щодо швидкого та послідовного реагування на комп'ютерні інциденти. Але цей останній хак, здається, показує каталог пропущених можливостей.

По-перше, хак виглядає, що триває більше двох тижнів, впливаючи на бронювання, зроблені між 21 серпня і 5 вересня. Хоча це означає, що не всі клієнти BA ризикують - тільки ті, хто зробив бронювання протягом цього періоду - це ще не ясно саме хто негативно постраждав, і в результаті вони втратять гроші.

Після остаточного виявлення хака, БА спочатку не надавала достатньої послідовної та надійної інформації про фактичний обсяг прийнятих даних. Основна заява компанії про хак визначала дані, які не були включені - паспортні та проїзні деталі - але не вказали, що були залучені дані банківської картки, замість того, щоб порадити клієнтам зв'язатися з їх банками. Це виглядає як спроба поставити позитивну спіну на дуже поганих новинах, та означає, що потенційна крадіжка що замовники найбільше пілкуються про - їхні деталі карти - не була висвітлена.

У розділі поширених запитань на веб-сторінці заяви було зазначено, що: "Імена, адреси та всі деталі банківської картки були під загрозою". Але це не дає фактичних подробиць про хак, наприклад, чи є CVV (значення перевірки картки) виявлено коди безпеки, знайдені на зворотній стороні карт, хоча Б. згодом надала цю інформацію медіа. Щоб не виявити, чи були зашифровані банківські реквізити, залишається дуже багато питань, на які все ще можна відповісти.

Для того, щоб бути в безпеці, BA радить всім постраждалим клієнтам скасувати свої картки. Це спочатку призвело до засмічення телефонних ліній банків завдяки великій кількості постраждалих клієнтів. На жаль, в даний час не зовсім зрозуміло, на кого насправді це негативно вплинуло. Деякі клієнти вже повідомляли про шахрайство на своїх картках.

Реакція колінного характеру, ймовірно, пояснюється новим загальним положенням ЄС про захист даних (GDPR), в якому зазначено, що порушення даних такого типу повинні повідомлятися протягом 72 годин після відкриття.

Генеральний директор BA, Алекс Крус, розповів BBC, що компанія відкрила хак в середу ввечері і зв'язалася з усіма постраждалими клієнтами до вечора в четвер. - Перше, щоб дізнатися, чи це було щось серйозне, а хто це вплинуло, чи ні. У той момент, коли фактичні дані про клієнтів були скомпрометовані, саме тоді ми почали негайно спілкуватися з нашими клієнтами », - сказав він.

Він додав: "Ми прагнемо працювати з будь-яким клієнтом, який, можливо, був постраждалим від цієї атаки, і ми компенсуємо їх за будь-які фінансові труднощі, які вони, можливо, зазнали".

Ми повинні бути вдячні за те, що завдяки GDPR інцидент був, принаймні, оприлюднений. Кредитно-звітному агентству Equifax знадобилося три місяці, щоб повідомити про порушення даних у 2017 році, протягом якого керівники продавали акції компанії, хоча внутрішнє розслідування очистило їх від будь-якої інсайдерської або невідповідної торгівлі, заявивши, що вони не знали про інцидент, коли вони зробили торгів.

Дідо Хардінг, генеральний директор телекомунікаційної компанії TalkTalk, надав один з найкращих прикладів того, як не реагувати на порушення даних. Після того, як компанія була зламана в 2015 році, Harding з'явився на телебаченні, запропонувавши клієнтам довіряти повідомлення електронної пошти з адрес TalkTalk, які містили посилання на сайт TalkTalk. Тепер вони вважаються стандартними методами, які використовують шахраї, щоб переконати клієнтів, що їхні електронні листи є справжніми.

Довгостроковий вплив порушення даних

Максимальний штраф за порушення даних компанії за ВВП - 4% світового обороту. У 2017 році оборот BA склав понад 12 мільярдів фунтів стерлінгів, тому, якщо компанія отримала такий штраф, вона може перевищувати 480 мільйонів фунтів стерлінгів, хоча ЄС ще не має жодних ознак того, чи може хак це призвести до штрафу. BA вже запропонувала компенсацію для клієнтів, які постраждали від інциденту, що може досягти значних обсягів, особливо тому, що багато клієнтів, яких Б. повідомили про інцидент, не розповіли, чи були фактично їхні дані про карту викрадені.

Як і в інших прикладах комерційних порушень даних, початкова звітність вплинула на ціну акцій компанії. Ринкова вартість материнської групи BA - міжнародної групи консолідованих авіаліній - спочатку була знижена на 3,8 відсотка. Але це, можливо, вплив на довіру клієнтів, який матиме найбільший збиток.

На сьогоднішній день, кілька деталей були випущені навколо методу рубати. Таким чином, це може включати традиційні методи взяття даних з бази даних. Але якщо це пов'язано із захопленням деталей клавіш, які користувачі натискали на клавіатурі, це похитнуло б основу нашої цифрової фінансової інфраструктури.

Якщо є одна річ, яку показує цей хак, то це те, що ми живемо в дуже крихкому цифровому світі і де хаки можуть залишатися непоміченими протягом деякого часу. Тому нам потрібно побудувати системи фінансових трансфертів, які інтегрують шифрування на кожному кроці процесу.

Ця стаття, написана Біллом Бьюкененом з The Cyber ​​Academy, Університет Едінбург Нейпір Спочатку була опублікована на The Conversation. Прочитайте оригінальну статтю.