Meghozta döntését a brit adatvédelemért felelős szervezet, az ICO (Information Commissioner's Office), abban az adatlopási ügyben, amely tavaly sújtotta a British Airways légitársaságot. A hivatal 183,4 millió font (mintegy 66 milliárd forint) büntetés kiszabására tett javaslatot, mert megítélése szerint a légitársaság nem járt el az elvárható gondossággal az adatok védelménél.

Félmillió utas érzékeny adatát nyúlták le

Mint az esetről írtuk, tavaly augusztus 21. és szeptember 5. között kiberbűnözők közel félmillió olyan utas érzékeny adatát nyúlták le, akik a British Airways honlapját vagy mobil appját használták jegyvásárlásra vagy foglalásra. Az ügyfelek útlevéladatait és az utazásra vonatkozó információkat ugyan nem szerezték meg, de neveket, címeket, valamint bank- és hitelkártya-adatokat igen.

Az ICO részletesen kivizsgálta a támadás hátterét és okait. Szerintük a támadók sikeressége annak köszönhető, hogy a British Airways biztonsági rendszerei gyengék voltak, különösen azok, amelyeknek az ügyfél-bejelentkezést, az online fizetéseket kezelték. Az ICO szerint egyébként az incidens az eredetileg feltételezettnél korábban, már júniusban elkezdődött. A támadást feltételezhetően egy Magecart nevű hekkercsapat hajtotta végre, amely főleg internetes áruházak elleni támadásairól ismert, és főleg hitelkártya-információkra specializálódott.

A GDPR szellemében csapnak le

A ZDNet idézi a brit adatvédelmi biztost, Elizabeth Denhamet, aki a döntéssel kapcsolatban azt hangsúlyozta, hogy ha egy szervezet nem védi meg ügyfelei adatait, az az ügyfelek számára több mint egyszerű kényelmetlenség. Denham szerint a GDPR egyértelműen határozza meg ezzel kapcsolatban a szervezetek feladatait.

A British Airways elnök-vezérigazgatója, Alex Cruz értelemszerűen nehezményezte a kiszabott büntetés mértékét. Cruz szerint azt például nem vette figyelembe az adatvédelmi hivatal, hogy a cég vizsgálatai során semmiféle bizonyítékot nem talált arra, hogy a kompromittálódott adatokkal visszaéltek volna. (A büntetés mértéke még egy ilyen méretű cégnek is jelentős, megközelítőleg a 2018-ban elért profitjának tizedét vinné el.)

A British Airwaysnek egyébként 28 napja van, hogy megfefellebbezze az ICO határozatát, és anyavállalata, az International Airlines Group már be is jelentette, hogy élni is kívánnak a lehetőséggel. Az ICO a végleges döntés előtt megvizsgálja a vállalat és a többi érintett adatvédelmi hatóság észrevételeit, és akár csökkentheti is az első körben kiszabott bírságot.