British Airways hack: hvorfor rekordbøde på 183 millioner pund kunne have været langt større
Databrud på flyselskaber var den første store sag under nye GDPR-regler
Pascal Pavani/AFP/Getty Images
British Airways er blevet idømt en bøde på 183 millioner pund for et større sikkerhedsbrud sidste år - den største straf, der nogensinde er uddelt af den britiske informationskommissær (ICO).
Flyselskabet siger, at det er overrasket og skuffet over beslutningen og planlægger at anke.
Men eksperter påpeger, at tilsynsmyndigheden kunne have givet BA en bøde på i alt mere end det dobbelte af dette beløb i henhold til den europæiske databeskyttelsesforordning (GDPR). Så hvad er de nye regler, og hvorfor var denne sag så vigtig?
Hvad skete der i BA-hacket?
Den 6. september meddelte flyselskabet, at titusindvis af kunders personlige oplysninger og betalingsoplysninger var blevet stjålet under et databrud.
Oplysninger om betalingskort, herunder nummer, udløbsdato og trecifret sikkerhedskode eller 'kortverifikationsværdi' (CVV) blev ulovligt udtrukket fra reservationssystemet, rapporterer Den uafhængige .
BA sagde, at hackere havde udført et sofistikeret, ondsindet kriminelt angreb, der kompromitterede 382.000 transaktioner udført på deres hjemmeside og app mellem 21. august og 5. september. Politiet og de relevante myndigheder var blevet underrettet, tilføjede virksomheden.
Under undskyldning til de berørte personer sagde BA-chefer, at bruddet var blevet løst, og at stjålne data ikke omfattede rejse- eller pasoplysninger. Firmaet var begyndt at kontakte kunder i det øjeblik, bruddet blev opdaget, tilføjede flyselskabet.
ICO sagde i denne uge, at brugere af webstedet var blevet omdirigeret til et svigagtigt websted, hvor detaljer om omkring 500.000 mennesker blev høstet.
Efter offentliggørelsen af bøden sagde BA-formand Alex Cruz mandag: British Airways reagerede hurtigt på en kriminel handling for at stjæle kundernes data. Vi har ikke fundet beviser for bedrageri/svigagtig aktivitet på konti forbundet med tyveriet.
Hvor kommer GDPR ind?
BA-bøden er den første, der bliver offentliggjort under de nye regler, som trådte i kraft i maj 2018 i den største rystelse af databeskyttelse i 20 år, siger BBC .
Indtil nu var den største straf på 500.000 pund, der blev pålagt Facebook for dets rolle i Cambridge Analytica-dataskandalen. Det var det maksimale tilladte under de gamle databeskyttelsesregler, der gjaldt før GDPR, siger tv-selskabet.
De nye regler tillader en maksimal bøde på 4% af den skyldiges omsætning - hvilket for BA ville have beløbet sig til £488 mio. I stedet beløber den påførte bøde sig til 1,5 % af flyselskabets omsætning i 2017 og er betydeligt lavere end maksimumsgrænsen på 488 mio. GBP.
Sagen har tiltrukket sig betydelig interesse som den første af sin slags, som cybersikkerhedsjournalist Kate O'Flaherty bemærkede i en artikel for Forbes september sidste år.
Ian Thornton-Trump, en veteran fra cybersikkerhedsindustrien, fortalte O'Flaherty, at det ville være en svær beslutning for ICO. Alle ønsker, at GDPR skal have tænder, så ICO er nødt til at finde den rigtige balance her, forklarede han.
BA-bruddet var ikke så slemt som nogle andre nylige hacks, som f.eks Equifax i 2017 , og den maksimale bøde kan skubbe BA til punktet af insolvens, tilføjede Thornton-Trump.
Han forudsagde en bøde i intervallet £5m til £10m og tilføjede: Det er betydeligt, men det bringer ikke virksomheden i fare og er ikke 'for politisk'.
I protest mod den bøde på 183 millioner pund, der blev annonceret i denne uge, sagde Willie Walsh, administrerende direktør for International Consolidated Airlines Group (IAG), BA's moderselskab: Vi har til hensigt at tage alle passende skridt for at forsvare flyselskabets position kraftigt, herunder at fremsætte eventuelle nødvendige appeller .
