British Airways ปรับเงิน 20 ล้านปอนด์จากการละเมิดข้อมูล

สายการบินบริติชแอร์เวย์ถูกปรับเงิน 20 ล้านปอนด์ (26 ล้านเหรียญสหรัฐ) จากสำนักงานคณะกรรมการสารสนเทศ (ICO) จากการละเมิดข้อมูลซึ่งส่งผลกระทบต่อลูกค้ามากกว่า 400,000 ราย

การละเมิดเกิดขึ้นในปี 2018 และส่งผลกระทบต่อทั้งข้อมูลส่วนตัวและข้อมูลบัตรเครดิต ค่าปรับนั้นน้อยกว่า 183 ล้านปอนด์ที่ ICO บอกไว้เดิมว่าตั้งใจจะออกในปี 2019 กล่าวว่า “ผลกระทบทางเศรษฐกิจของโควิด -19” ได้รับการพิจารณาแล้ว อย่างไรก็ตามยังคงเป็นบทลงโทษที่ใหญ่ที่สุดที่ออกโดย ICO จนถึงปัจจุบัน เหตุการณ์ดังกล่าวเกิดขึ้นเมื่อระบบของ BA ถูกโจมตีโดยผู้โจมตีและจากนั้นปรับเปลี่ยนเพื่อเก็บเกี่ยวรายละเอียดของลูกค้าตามที่ได้รับ เป็นเวลาสองเดือนก่อนที่ BA จะได้รับแจ้งจากนักวิจัยด้านความปลอดภัยจากนั้นจึงแจ้ง ICO แฮกเกอร์เข้าสู่ British Airways ได้อย่างไร?
BA boss ขอโทษสำหรับการละเมิดข้อมูล

ข้อมูลที่ถูกขโมยรวมถึงการเข้าสู่ระบบบัตรชำระเงินและรายละเอียดการจองการเดินทางตลอดจนข้อมูลชื่อและที่อยู่

การตรวจสอบในภายหลังสรุปได้ว่ามาตรการรักษาความปลอดภัยที่เพียงพอเช่นการรับรองความถูกต้องแบบหลายปัจจัยไม่ได้มีอยู่ในเวลานั้น

ICO ตั้งข้อสังเกตว่ามาตรการเหล่านี้บางส่วนมีอยู่ในระบบปฏิบัติการของ Microsoft ที่ BA ใช้อยู่ในขณะนั้น

“เมื่อองค์กรต่างๆใช้การตัดสินใจที่ไม่ดีเกี่ยวกับข้อมูลส่วนบุคคลของผู้คนสิ่งนั้นอาจส่งผลกระทบอย่างแท้จริงต่อชีวิตของผู้คนขณะนี้กฎหมายให้เครื่องมือแก่เราในการกระตุ้นให้ธุรกิจตัดสินใจเกี่ยวกับข้อมูลได้ดีขึ้นรวมถึงการลงทุนในการรักษาความปลอดภัยที่ทันสมัย” กล่าว ข้อมูลข้าราชการ Elizabeth Denman

สายการบินบริติชแอร์เวย์สกล่าวว่าได้แจ้งเตือนลูกค้าทันทีที่พบเกี่ยวกับการโจมตีระบบ

“เรายินดีที่ ICO ตระหนักดีว่าเราได้ทำการปรับปรุงความปลอดภัยของระบบของเราอย่างมากนับตั้งแต่เกิดการโจมตีและเราได้ให้ความร่วมมืออย่างเต็มที่ในการสืบสวน” โฆษกกล่าว

เจ้าหน้าที่คุ้มครองข้อมูล Carl Gottlieb กล่าวว่าในสภาพอากาศปัจจุบันเงิน 20 ล้านปอนด์เป็นค่าปรับที่ “มหาศาล”

“ มันแสดงให้เห็นว่า ICO หมายถึงธุรกิจและไม่ปล่อยให้ บริษัท ที่กำลังดิ้นรนหลุดมือจากความล้มเหลวในการปกป้องข้อมูล” เขากล่าว

BA ใช้เวลานานกว่าสองปีในการเผชิญหน้ากับดนตรีในเหตุการณ์ที่ร้ายแรงครั้งนี้

บริษัท ละเมิดกฎหมายคุ้มครองข้อมูลและล้มเหลวในการป้องกันตนเองจากการโจมตีทางไซเบอร์ที่สามารถป้องกันได้ จากนั้นก็ตรวจไม่พบการแฮ็กจนสร้างความเสียหายให้กับลูกค้าหลายแสนราย

ความล่าช้าระหว่างเหตุการณ์และความผิดปกติทำให้เกิดปัญหาในแวดวงความเป็นส่วนตัว แต่ฉันเข้าใจว่าสำนักงานคณะกรรมการข้อมูลได้ทำงานอย่างมีระบบเพื่อทำให้ถูกต้อง นี่เป็นการปรับครั้งใหญ่ครั้งแรกของคณะกรรมาธิการภายใต้การควบคุมข้อมูล GDPR ของสหภาพยุโรปและประเทศอื่น ๆ ในยุโรปกำลังจับตามองอย่างใกล้ชิดว่าเป็นการตัดสินใจครั้งสำคัญ

ตัวเลขสุดท้ายของ 20 ล้านปอนด์สร้างความตกใจให้กับหลาย ๆ คนที่คาดหวังว่ามันจะใกล้เคียงกับที่เสนอไว้ 183 ล้านปอนด์ในตอนแรก แต่ก็ยังเป็นช่วงเวลาสำคัญสำหรับความเป็นส่วนตัวของข้อมูลและ GDPR บริษัท อื่น ๆ จะมองว่าค่าปรับเป็นรูปร่างของสิ่งต่างๆที่จะตามมาหากพวกเขาล้มเหลวในการปกป้องลูกค้า

ในโลกหลังโควิด ICO อาจไม่อ่อนโยนเท่า