British Airways Hack: Това е начина, по който компаниите не трябва да се справят с нарушенията на данните

Хаосът изглежда управлява в British Airways, където хакерите откраднаха детайлите на около 380 000 резервации на клиенти. В миналото имаше някои лоши отговори на кибератаките на големите компании, но действията на авиокомпанията в този случай биха могли да бъдат един от най-слабите в съвременната история. Част от това може да се дължи на факта, че сега от ЕС се изисква от ЕС да докладва за кибернетични атаки в рамките на 72 часа и поради това, че информацията все още може да бъде задържана поради провеждано наказателно разследване.

След като през май 2018 г. фирмата изпита проблеми с електрозахранването в своите ИТ системи, бихте помислили, че БА вече разполага с планове за отговор на компютърни инциденти по-бързо и последователно. Въпреки това изглежда, че този последен хак показва каталог с пропуснати възможности.

Първо, хакът изглежда да е продължил повече от две седмици, засягайки резервации, направени между 21 август и 5 септември. Въпреки това това означава, че не всички клиенти на БА са изложени на риск - само тези, които са направили резервации през този период - също все още не е ясно точно кой е бил негативно засегнат и дали ще загубят пари в резултат на това.

Когато най-накрая беше открит рана, БА първоначално не предостави достатъчно последователна и солидна информация за действителния обхват на взетите данни. Основната декларация на компанията за рана дефинира данните, които не са включени - паспортни данни и данни за пътуването - но не се споменава, че са включени данни за банковите карти, а вместо това съветват клиентите да се свържат с банките си. Изглежда, че това се опитва да постави положителен резултат на много лоши новини и означава, че потенциалната кражба на това, което клиентите са най-притеснени - техните данни за картата - не е подчертана.

В раздела за често задавани въпроси на уеб страницата на изявлението се казва, че: „Всички имена, адреси и всички данни на банковите карти са изложени на риск.“ Но това не дава информация за действителните данни за рана, като например дали CVV (стойността за проверка на картата) бяха разкрити кодове за сигурност, намерени на гърба на картите, макар че по-късно БА предостави тази информация на медиите. За да не се разкрие дали данните за банката са криптирани или не, остава твърде много въпроси, на които все още да се отговаря.

За да бъдем сигурни, БА съветва всички засегнати клиенти да анулират своите карти. Това първоначално доведе до запушване на банкови телефонни линии поради големия брой засегнати клиенти. За съжаление понастоящем не е ясно кой всъщност е бил засегнат отрицателно. Няколко клиенти вече са съобщили за измами по техните карти.

Причината за реакцията на коляното вероятно се дължи на новия регламент на ЕС за защита на данните (GDPR), според който нарушенията на този вид данни трябва да бъдат докладвани в рамките на 72 часа след откриването.

Главният изпълнителен директор на BA, Алекс Круз, заяви пред Би Би Си, че компанията е открила рана в сряда вечерта и се е свързала с всички засегнати клиенти до четвъртък вечерта. - Първото нещо беше да разбера дали е нещо сериозно и кой е засегнало или не. В момента, в който действителните данни на клиентите са били компрометирани, това е, когато започнахме незабавна комуникация с нашите клиенти, ”каза той.

Той добави: "Ние сме ангажирани да работим с всеки клиент, който може да е бил финансово засегнат от тази атака, и ние ще им компенсираме за всякакви финансови трудности, които може да са претърпели."

Трябва да бъдем благодарни, че благодарение на GDPR инцидентът е бил най-малко публично достояние. Агенцията за кредитно отчитане Equifax отне три месеца, за да докладва за нарушаването на данните си през 2017 г., през което време ръководителите продаваха акции в компанията, въпреки че вътрешното разследване ги изчистваше от всякакви вътрешни или неподходящи сделки, заявявайки, че не са знаели за инцидента, когато са направили сделки.

Дидо Хардинг, главен изпълнителен директор на телекомуникационната компания TalkTalk, предостави един от най-добрите примери как да не реагира на нарушение на данните. След като компанията беше хакната през 2015 г., Harding се появи на телевизията, като предложи на клиентите да се доверяват на имейли от адресите на TalkTalk и които съдържат връзки към уебсайта на TalkTalk. Сега те се считат за стандартни техники, използвани от измамниците, за да убедят клиентите, че техните имейли са истински.

Дългосрочно въздействие на нарушението на данните

Максималната глоба за нарушаване на данните за компаниите в рамките на GDPR е 4% от световния оборот. През 2017 г. оборотът на BA е над 12 милиарда британски лири, така че ако компанията е ударена с такава глоба, тя може да надхвърли 480 милиона британски лири, въпреки че ЕС все още не е посочил дали хакването може да доведе до глоба. BA вече е предложила обезщетение за клиенти, засегнати от инцидента, което може да достигне значителни суми, особено когато много клиенти, които BA са уведомили за инцидента, не са казали дали данните им за картата са били действително откраднати.

Както и в други примери за нарушения на търговските данни, първоначалната отчетност е засегнала цената на акциите на компанията. Пазарната стойност на родителската група на BA - International Consolidated Airlines Group - първоначално беше намалена с 3,8%. Но това вероятно е ефектът върху доверието на клиентите, който ще има най-голяма вреда.

Понастоящем малко подробности бяха публикувани около метода на хакването. Така че това може да включва традиционни методи за хакване на данни от база данни. Но ако става въпрос за улавяне на подробности за натискане на клавишите на клавиатурата, това ще разтърси основата на нашата цифрова финансова инфраструктура.

Ако има нещо, което този хак показва, то е, че живеем в един изключително крехък дигитален свят и където хакове могат да останат незабелязани за известно време. Така че трябва да изградим системи за финансов трансфер, които интегрират криптирането на всеки един етап от процеса.

Тази статия, написана от Бил Бюканън от The Cyber ​​Academy, Университет на Единбург Нейпиър, първоначално е публикуван на The Conversation. Прочетете оригиналната статия.