Blog

(Leestijd: 3 - 5 minuten)

british airways

Gehacked met datalek als gevolg

British Airways wordt geconfronteerd met een recordboete van £ 183 miljoen voor de inbreuk op haar beveiligingssystemen van vorig jaar.
De luchtvaartmaatschappij, eigendom van IAG, zegt dat het "verrast en teleurgesteld" was door de straf van het Information Commissioner's Office (ICO – Waakhond Privacy van het Verenigd Koninkrijk ).
BA zei destijds dat hackers een 'geavanceerde, kwaadwillige criminele aanval' hadden uitgevoerd op haar website.
De ICO zei dat het de grootste boete was die het ooit had uitgedeeld en de eerste die volgens nieuwe regels openbaar werd gemaakt.

Wat is er gebeurd?

De ICO zei dat het incident plaatsvond nadat gebruikers van de website van British Airways werden omgeleid naar een frauduleuze site. Via deze valse site werden gegevens van ongeveer 500.000 klanten geoogst door de aanvallers.

Onvoldoende technische en/of organisatorische maatregelen getroffen

Information Commissioner Elizabeth Denham zei: "Persoonlijke gegevens van mensen zijn precies dat - persoonlijk. Wanneer een organisatie het niet beschermt tegen verlies, beschadiging of diefstal, is dit meer dan een ongemak.
"Daarom is de wet duidelijk - als u met persoonlijke gegevens wordt belast, moet u erop letten. Wie dat niet doet, moet de controle van mijn kantoor krijgen om na te gaan of zij de juiste stappen hebben ondernomen om de fundamentele privacyrechten te beschermen."
Het incident werd voor het eerst bekendgemaakt op 6 september 2018 en BA had aanvankelijk gezegd dat ongeveer 380.000 transacties waren getroffen, maar de gestolen gegevens bevatten geen gegevens over reizen of paspoorten.

Welke gegevens waren gestolen?

De ICO zei dat het incident zou zijn begonnen in juni 2018. De waakhond zei dat een verscheidenheid aan informatie was "aangetast" door slechte beveiligingsmaatregelen bij het bedrijf, inclusief inlog, betaalkaart en reisboekingsdetails, evenals naam- en adresgegevens.
BA zei aanvankelijk dat de informatie bestond uit namen, e-mailadressen, creditcardgegevens zoals creditcardnummers, vervaldatums en de driecijferige CVV-code op de achterkant van creditcards, hoewel BA heeft aangegeven CVV-nummers niet op te slaan.
De waakhond zei dat BA had meegewerkt aan het onderzoek en verbeteringen had aangebracht aan zijn beveiligingsregelingen.

Wat zijn de nieuwe regels

De Algemene Verordening Gegevensbescherming (AVG) trad vorig jaar in werking en was de grootste opschudding van de wereld van privacy en verwerken van gegevens in 20 jaar.
De aan BA opgelegde boete is de eerste die openbaar wordt gemaakt sinds die regels zijn ingevoerd, waardoor het verplicht is inbreuken op de gegevensbeveiliging aan de informatiecommissaris ICO te melden.

Boete is minder dan het mogelijke maximum

Het verhoogde ook de maximale boete tot 4% van de omzet. De BA-boete bedraagt 1,5% van de wereldwijde omzet in 2017, minder dan het mogelijke maximum.
Tot nu toe was de grootste boete £ 500.000, opgelegd aan Facebook vanwege zijn rol in het gegevensschandaal van Cambridge Analytica. Dat was het maximum dat was toegestaan onder de oude regels voor gegevensbescherming die golden voordat de AVG van kracht werd.
Je zou denken dat de komma vast op de verkeerde plek staat omdat de voorgestelde boete ongeveer 367 keer zo hoog was als de vorige recordboete. De vorige record boete legde de ICO Facebook op en bedroeg £ 500.000 inzake het Cambridge Analytica-schandaal.
Het verschil is natuurlijk dat de wet is veranderd tussen de twee incidenten, met de komst van een nieuwe wet die de AVG van Europa weerspiegelt. Dit maakt boetes van maximaal 4% van de jaaromzet mogelijk.
Nu had je kunnen verwachten dat de handhaver in het begin enigszins voorzichtig zou zijn in het hanteren van dit krachtige nieuwe wapen, maar dit nieuws zal een rilling over de rug geven aan iedereen die verantwoordelijk is voor cyberbeveiliging bij een groot bedrijf.

Duidelijke boodschap

De boodschap is duidelijk - als u de gegevens van uw klanten niet met de grootste zorg behandelt, verwacht dan strenge straffen als er iets misgaat. British Airways lijkt zeker verbluft te zijn. Maar aan de andere kant had het nog erger kunnen zijn: de volledige 4% van de omzet zou een mooie £ 500 miljoen hebben betekend.

Wat gebeurt er nu?

BA heeft 28 dagen de tijd om in beroep te gaan. "We zijn van plan om alle nodige maatregelen te nemen om de positie van de luchtvaartmaatschappij krachtig te verdedigen, inclusief het doen van eventuele beroepsprocedures," zei Willie Walsh (Chief Executive IAG)
Alex Cruz, de voorzitter en CEO van British Airways, zei dat de luchtvaartmaatschappij "verrast en teleurgesteld" was in de eerste bevindingen van de ICO. "British Airways reageerde snel op een criminele handeling om gegevens van klanten te stelen. We hebben geen aanwijzingen gevonden voor fraude / frauduleuze activiteiten op accounts die verband houden met de diefstal. "Onze excuses aan onze klanten voor het eventuele ongemak dat dit evenement heeft veroorzaakt."

Waar gaat het boetebedrag naartoe?

De boete is verdeeld tussen de andere Europese autoriteiten persoonsgegevens, terwijl het geld dat naar de ICO gaat direct naar de staatskas gaat.

Betrokkenen moeten zélf aanspraak maken voor vergoeding

Het is aan particulieren /betrokkenen om geld te claimen bij BA, dat geen informatie gaf op de vraag of er een vergoeding was betaald.
Op grond van de regelgeving zullen autoriteiten in de EU waarvan de inwoners zijn getroffen, ook de gelegenheid krijgen om commentaar te leveren op de bevindingen van de ICO.

 

Bron: BBC

Image source