Британское Управление комиссара по информации (Information Commissioner’s Office, ICO) сообщило, что собирается оштрафовать компанию British Airways за прошлогоднюю утечку данных на 183 миллиона фунтов стерлингов. Это в несколько сотен раз больше, чем британцы взыскали с Facebook за скандал с Cambridge Analytica. Рассказываем, чем провинился перевозчик, откуда взялась такая разница в штрафах и почему стоит заранее думать о защите данных.
Утечка British Airways — что произошло?
Осенью прошлого года «Британские авиалинии» сообщили, что с 21 августа по 5 сентября мошенники имели доступ к данным пользователей, покупавших или менявших билеты через сайт или приложение компании. Злоумышленники украли информацию около 500 тысяч клиентов перевозчика. Утекло все, что жертвы вводили в формы на затронутых ресурсах: логины и пароли, имена и адреса пассажиров, данные карт, в том числе CVC-коды, и так далее.
Как выяснилось в ходе расследования, перевозчика атаковала группировка Magecart. Эти киберпреступники известны тем, что взламывают сайты интернет-магазинов и внедряют в них вредоносный скрипт, нацеленный на кражу финансовых данных. Атака на British Airways не была исключением: злоумышленники заразили сайт компании. Пользователи приложения пострадали из-за того, что оно по сути являлось оболочкой и подгружало часть функциональности с сайта компании в реальном времени.
Штраф за нарушение GDPR
Хотя «Британские авиалинии» вовремя сообщили об инциденте и помогали его расследовать, компании все равно придется платить штраф. Согласно регламенту GDPR, бизнес, обрабатывающий данные европейцев, обязан сделать все возможное, чтобы обеспечить их сохранность. Сайт British Airways, как выяснилось в ходе расследования, был защищен не лучшим образом. перевозчик, конечно, повысил безопасность своих ресурсов, однако от ответственности за прежнюю небрежность это его не избавляет.
Компанию Facebook, допустившую утечку данных около 87 миллионов пользователей, британцы в свое время оштрафовали всего на 500 тысяч фунтов. Дело в том, что согласно требованиям актуального на то время Акта о защите данных 1998 года это был максимальный размер штрафа, а регламент GDPR на момент утечки еще не был принят.
Безопасность выгоднее
Сумма штрафа, названная ICO, пока не окончательная: ведомство еще рассмотрит заявления других европейских органов, занимающихся вопросами защиты данных, и самой British Airways. И тем не менее она показательна: вовремя принятые меры защиты обойдутся вам во много раз дешевле. Если вы обрабатываете личную информацию европейских пользователей, особенно такую, как банковские данные, рекомендуем вам не откладывать безопасность в долгий ящик.
Когда речь идет об электронной коммерции или удаленном банковском обслуживании, особое внимание следует уделять именно защите веб-сайта от скриптов онлайн-скимминга. В составе нашей платформы Kaspersky Fraud Prevention есть решение Automated Fraud Analytics, которое позволяет анализировать события, происходящие на странице непосредственно во время пользовательской сессии, и выявлять различные онлайн-угрозы, в том числе и веб-инжекты. Подробнее узнать о решении можно в соответствующем разделе нашего корпоративного сайта.