Взлом British Airways: это то, как компании не должны обрабатывать утечки данных

Похоже, что хаос царит в British Airways, где хакеры украли детали около 380 000 заказов клиентов. В прошлом было несколько слабых откликов на кибератаки на крупные компании, но действия авиакомпании в этом случае могут быть одними из самых слабых в новейшей истории. Частично это может быть связано с тем, что в настоящее время от ЕС требуется, чтобы компании сообщали о кибератаках в течение 72 часов, а также из-за того, что информация все еще скрывается из-за продолжающегося уголовного расследования.

После того, как в мае 2018 года у компании возникли проблемы с электропитанием в ее ИТ-системах, можно подумать, что у BA теперь есть планы для более быстрого и согласованного реагирования на компьютерные инциденты. Все же этот последний взлом, кажется, показывает каталог упущенных возможностей.

Во-первых, взлом, похоже, длился более двух недель, затрагивая заказы, сделанные в период с 21 августа по 5 сентября. Хотя это означает, что рискуют не все клиенты BA - только те, кто делал заказы в этот период - это также еще не ясно кто конкретно пострадал и потеряют ли они деньги в результате.

Когда хак был наконец обнаружен, BA изначально не предоставил достаточно последовательной и надежной информации о реальном объеме полученных данных. Основное заявление компании о взломе определило данные, которые не были включены - паспорт и детали поездки - но не указывало, что данные банковской карты были задействованы, вместо этого советуя клиентам связаться со своими банками. Это похоже на попытку положительно повлиять на очень плохие новости, и означает, что потенциальная кража того, что больше всего беспокоит клиентов - детали их карт - не была выделена.

В разделе часто задаваемых вопросов на веб-странице заявления говорится, что: «имена, адреса и все данные банковской карты находятся под угрозой». Но это не дало реальных деталей взлома, таких как CVV (значение проверки карты), были обнаружены защитные коды, найденные на обратной стороне карт, хотя позднее Б.А. предоставил эту информацию средствам массовой информации. Чтобы не раскрывать, были ли банковские реквизиты зашифрованы или нет, остается слишком много вопросов, на которые нужно ответить.

Чтобы быть в безопасности, BA советует всем пострадавшим клиентам аннулировать свои карты. Первоначально это привело к засорению банковских телефонных линий из-за огромного количества пострадавших клиентов. К сожалению, в настоящее время неясно, кто конкретно пострадал. Несколько клиентов уже сообщили о мошенничестве на своих карточках.

Коленный характер реакции, вероятно, был обусловлен новым общим регламентом ЕС о защите данных (GDPR), согласно которому о таких нарушениях данных следует сообщать в течение 72 часов после обнаружения.

Генеральный директор BA Алекс Круз сообщил BBC, что компания обнаружила взлом в среду вечером и связалась со всеми пострадавшими клиентами к вечеру четверга. «Первым делом нужно было выяснить, было ли это что-то серьезное и на кого это влияло или нет. В тот момент, когда фактические данные клиентов были скомпрометированы, именно тогда мы начали немедленное общение с нашими клиентами », - сказал он.

Он добавил: «Мы стремимся работать с любым клиентом, который, возможно, пострадал от этой атаки в финансовом отношении, и мы возместим ему любые финансовые трудности, которые они могли перенести».

Мы должны быть благодарны, что благодаря GDPR этот инцидент был, по крайней мере, быстро обнародован. Агентству кредитной отчетности Equifax потребовалось три месяца, чтобы сообщить о своем нарушении данных в 2017 году, когда руководители продали акции компании, хотя внутреннее расследование очистило их от любых инсайдерских или ненадлежащих операций, заявив, что они не знали об инциденте, когда они совершали сделок.

Дидона Хардинг, генеральный директор телекоммуникационной компании TalkTalk, представила один из лучших примеров того, как не реагировать на утечку данных. После того, как в 2015 году компания была взломана, на телевидении появился Хардинг, предлагавший клиентам доверять электронным письмам с адресов TalkTalk, в которых содержались ссылки на веб-сайт TalkTalk. Теперь они понимаются как стандартные методы, используемые мошенниками для убеждения клиентов в том, что их электронные письма являются подлинными.

Долгосрочное влияние взлома данных

Максимальный штраф за нарушение данных компании в рамках GDPR составляет 4 процента от мирового оборота. В 2017 году оборот BA превысил 12 миллиардов фунтов стерлингов, поэтому, если бы компания получила такой штраф, она могла бы превысить 480 миллионов фунтов стерлингов, хотя ЕС еще не дал никаких указаний на то, что хакер может привести к штрафу. BA уже предложила компенсацию для клиентов, затронутых инцидентом, которые могут достигать значительных сумм, особенно потому, что многие клиенты, которые BA предупредили об инциденте, не сказали, были ли украдены реквизиты их карты.

Как и в других примерах нарушений коммерческой информации, первоначальная отчетность поразила цену акций компании. Рыночная стоимость материнской группы BA - International Consolidated Airlines Group - изначально была снижена на 3,8 процента. Но, возможно, это повлияет на доверие клиентов и нанесет наибольший ущерб.

В настоящее время, несколько деталей были опубликованы вокруг метода взлома. Так что это может включать традиционные методы взлома данных из базы данных. Но если бы он занимался сбором информации о том, какие клавиши нажимали пользователи на своей клавиатуре, это потрясло бы основание нашей цифровой финансовой инфраструктуры.

Если есть что-то, что показывает этот взлом, то это то, что мы живем в чрезвычайно хрупком цифровом мире, и хаки могут оставаться незамеченными в течение некоторого времени. Поэтому нам необходимо создать системы финансовых переводов, которые бы интегрировали шифрование на каждом этапе процесса.

Эта статья, написанная Биллом Бьюкененом из Cyber ​​Academy, Эдинбургский университет Нейпир, был первоначально опубликован на разговор. Прочитайте оригинальную статью.