British Airways Hack: Aceasta este modul în care companiile nu ar trebui să se ocupe de încălcări ale datelor

Chaos pare să domnească la British Airways, unde hackerii au furat detaliile a aproximativ 380.000 de rezervări ale clienților. Au existat câteva reacții slabe la atacurile cibernetice asupra companiilor importante din trecut, dar acțiunile companiei aeriene, în acest caz, ar putea fi una dintre cele mai slabe din istoria recentă. O parte din acest lucru se poate datora faptului că UE este acum obligată să raporteze atacurile cibernetice în termen de 72 de ore și că informațiile ar putea fi reținute din cauza investigației penale în curs.

După ce compania a experimentat probleme de putere în cadrul sistemelor sale informatice în mai 2018, ați crede că BA ar avea acum planuri pentru a răspunde la incidentele de calculator mai rapid și coerent. Totuși, această ultimă hack pare să arate un catalog de oportunități ratate.

În primul rând, hack-ul pare să fi durat mai mult de două săptămâni, afectând rezervările efectuate între 21 august și 5 septembrie. Deși acest lucru înseamnă că nu toți clienții BA sunt expuși riscului - doar cei care au efectuat rezervări în această perioadă - nu este încă clar exact cine a fost afectat negativ și dacă vor pierde bani ca rezultat.

În momentul în care hack-ul a fost în cele din urmă descoperit, BA nu a furnizat inițial suficiente informații coerente și robuste cu privire la amploarea efectivă a datelor luate. Declarația principală a companiei despre hack a definit datele care nu au fost incluse - pașaportul și detaliile de călătorie - dar nu a precizat că au fost implicate detaliile cardului bancar, în schimb sfătuiesc clienții să contacteze băncile. Acest lucru pare să înceapă să facă o rotire pozitivă în știrile foarte proaste și înseamnă că furtul potențial al celor mai îngrijorați clienți - detaliile cărților lor - nu a fost evidențiat.

În secțiunea întrebări frecvente din pagina de internet a declarației, acesta a declarat că: "Numele, adresele și toate detaliile cardului bancar erau toate în pericol". Dar acest lucru nu a oferit detaliile reale ale hack-ului, cum ar fi dacă CVV (valoarea de verificare a cardului), codurile de securitate găsite pe spatele cardurilor au fost dezvăluite, deși BA a oferit mai târziu această informație pentru mass-media. Pentru a nu dezvălui dacă detaliile băncii au fost criptate sau nu, lasă prea multe întrebări încă de răspuns.

Pentru a fi în siguranță, BA recomandă tuturor clienților afectați să-și anuleze cardurile. Acest lucru a condus inițial la liniile telefonice bancare blocate datorită numărului mare de clienți afectați. Din nefericire, în prezent, nu este clar cine a fost afectat negativ. Mai mulți clienți au raportat deja fraude pe cărțile lor.

Natura reacției a fost cauzată, probabil, de noua reglementare generală a UE privind protecția datelor (GDPR), care prevede că încălcările de date de acest tip trebuie raportate în termen de 72 de ore de la descoperire.

Directorul executiv al BA, Alex Cruz, a declarat pentru BBC că compania a descoperit hack-ul miercuri seara și a contactat toți clienții afectați până joi seara. "Primul lucru a fost să aflăm dacă era ceva grav și cine a afectat sau nu. În momentul în care datele reale ale clienților au fost compromise, atunci am început comunicarea imediată către clienții noștri ", a spus el.

El a adăugat: "Ne angajăm să colaborăm cu orice client care ar fi putut fi afectat financiar de acest atac și îi vom compensa pentru orice dificultăți financiare pe care le-ar fi suferit".

Ar trebui să fim recunoscători că, datorită GDPR, incidentul a fost cel puțin publicat rapid. Agenția de raportare a creditelor Equifax a avut nevoie de trei luni pentru a raporta încălcarea datelor sale în 2017, moment în care directorii au vândut acțiuni în cadrul companiei, deși o investigație internă le-a eliminat orice tranzacție insider sau necorespunzătoare, spunând că nu au fost informați despre incident atunci când au făcut meserii.

Dido Harding, directorul executiv al companiei de telecomunicații TalkTalk, a oferit unul dintre cele mai bune exemple de a nu răspunde unei încălcări a datelor. După ce compania a fost hacked în 2015, Harding a apărut la televizor sugerând că clienții ar trebui să aibă încredere în e-mailurile de pe adresele TalkTalk și care conțineau link-uri către site-ul TalkTalk. Acestea sunt înțelese acum ca fiind tehnici standard folosite de escroci pentru a convinge clienții că e-mailurile lor sunt autentice.

Impactul pe termen lung al încălcării datelor

Amenzile maxime pentru încălcarea datelor companiei în cadrul GDPR reprezintă 4% din cifra de afaceri globală. În 2017, cifra de afaceri a BA era de peste 12 miliarde de lire sterline, astfel că, dacă compania a fost lovită cu o astfel de amendă, ar putea fi de peste 480 milioane de lire sterline, deși UE nu a indicat încă dacă hack-ul ar putea conduce la o amendă. BA a oferit deja compensații pentru clienții afectați de incident, care pot ajunge la sume importante, mai ales că mulți clienți care au alertat BA de incident nu au fost informați dacă detaliile cardului lor fuseseră efectiv furate.

Ca și în alte exemple de încălcări ale datelor comerciale, raportarea inițială a lovit prețul acțiunilor companiei. Valoarea de piață a grupului-mamă al BA - Grupul International Consolidated Airlines - a fost inițial afectată de 3,8 la sută. Dar este posibil ca efectul asupra încrederii clienților să aibă cele mai mari daune.

În prezent, câteva detalii au fost lansate în jurul metodei de hack. Deci, aceasta poate implica metode tradiționale de hacking de captare a datelor dintr-o bază de date. Dar dacă ar presupune captarea detaliilor despre ce chei le-au apăsat utilizatorii de pe tastatură, aceasta ar afecta fundamentul infrastructurii noastre financiare digitale.

Dacă există un lucru pe care îl arată acest hack, este că trăim într-o lume digitală extrem de fragilă și unde hack-urile pot să nu mai fie detectate de ceva timp. Așadar, trebuie să construim sisteme de transferuri financiare care să integreze criptarea în fiecare etapă a procesului.

Acest articol, scris de Bill Buchanan de la The Cyber ​​Academy, Universitatea Edinburgh Napier, a fost publicat inițial în The Conversation. Citiți articolul original.