British Airways hack: ovo je način na koji tvrtke ne bi trebale rukovati kršenjem podataka

Čini se da kaos vlada u British Airwaysu, gdje su hakeri ukrali detalje oko 380.000 rezervacija kupaca. Bilo je nekih loših odgovora na cyber napade na velike tvrtke u prošlosti, ali akcije zrakoplovne tvrtke, u ovom slučaju, mogu biti jedna od najslabijih u novijoj povijesti. Dio toga može biti i zbog toga što EU sada traži od tvrtki da podnesu izvješća o cyber napadima u roku od 72 sata, a zbog toga što se informacije još uvijek mogu zadržati zbog kriminalne istrage koja je u tijeku.

Nakon što je tvrtka u svibnju 2018. godine iskusila probleme s napajanjem unutar svojih IT sustava, pomislili biste da bi BA sada imala planove za brže i dosljednije reagiranje na računalne incidente. Ipak, čini se da ovaj najnoviji hak pokazuje katalog propuštenih prilika.

Prvo, hack izgleda da je trajao više od dva tjedna, utječući na rezervacije napravljene između 21. kolovoza i 5. rujna. Iako to znači da nisu svi klijenti BA izloženi riziku - samo oni koji su izvršili rezervacije tijekom tog razdoblja - također još nije jasno tko je negativno pogođen i hoće li zbog toga izgubiti novac.

Kada je konačno otkriven hak, BA u početku nije pružio dovoljno koherentnih i čvrstih informacija o stvarnom opsegu prikupljenih podataka. Glavna izjava tvrtke o hakiranju definirala je podatke koji nisu uključeni - podatke o putovnici i putovanjima - ali nisu naveli da su uključeni podaci o bankovnim karticama, nego je savjetovao klijente da kontaktiraju svoje banke. Čini se da je to pokušaj da se pozitivno okreće vrlo lošim vijestima, a to znači da potencijalna krađa onoga zbog čega su klijenti najviše zabrinuti - detalji o karticama - nije istaknuta.

U odjeljku često postavljanih pitanja na web-stranici izjave navodi se: "Imena, adrese i svi podaci o bankovnim karticama bili su u opasnosti." Ali to nije dalo stvarne detalje o hakiranju, kao na primjer da li je CVV (vrijednost provjere kartice) otkriveni su sigurnosni kodovi pronađeni na poleđini kartica, iako je BA kasnije dao te informacije medijima. Da ne otkrijemo jesu li bankovni podaci šifrirani ili ne, ostaje previše pitanja za odgovore.

Da bi bila sigurna, BA savjetuje sve pogođene klijente da otkažu svoje kartice. To je u početku dovelo do začepljenih telefonskih linija banke zbog velikog broja pogođenih klijenata. Nažalost, trenutno nije jasno tko je zapravo bio negativno pogođen. Nekoliko je klijenata već prijavilo prijevaru na svojim karticama.

Povremena reakcija koljena bila je vjerojatno posljedica nove opće regulative EU-a o zaštiti podataka (GDPR) u kojoj se navodi da se takva kršenja podataka moraju prijaviti unutar 72 sata otkrića.

Glavni izvršni direktor tvrtke BA, Alex Cruz, izjavio je za BBC da je tvrtka otkrila hak u srijedu navečer i da je kontaktirala sve pogođene klijente do četvrtka navečer. - Prvo je bilo saznati je li to nešto ozbiljno i tko je to utjecalo ili nije. U trenutku kada su stvarni podaci o kupcima bili kompromitirani, tada smo odmah počeli komunicirati s našim klijentima ”, rekao je.

Dodao je: "Predani smo radu s bilo kojim klijentom koji je možda bio financijski pogođen ovim napadom, a mi ćemo ih nadoknaditi za bilo kakve financijske poteškoće koje su možda pretrpjeli."

Trebali bismo biti zahvalni što je, zahvaljujući GDPR-u, taj incident bio brzo objavljen. Kreditna agencija Equifax trebala je tri mjeseca da prijavi svoju povredu podataka u 2017. godini, tijekom koje su izvršni direktori prodali dionice u tvrtki, iako ih je interna istraga očistila od bilo kakvog insajdera ili neprikladnog trgovanja, rekavši da nisu znali za incident kada su napravili obrta.

Dido Harding, izvršni direktor telekomunikacijske tvrtke TalkTalk, pružio je jedan od najboljih primjera kako ne reagirati na kršenje podataka. Nakon što je tvrtka bila hakirana 2015., Harding se pojavio na televiziji sugerirajući korisnicima da vjeruju u poruke e-pošte s TalkTalk adresa i koje sadrže veze do web-mjesta TalkTalk. Ovo se sada shvaća kao standardne tehnike koje koriste prevaranti kako bi uvjerili kupce da su im e-poruke originalne.

Dugoročni učinak kršenja podataka

Maksimalna novčana kazna za kršenje podataka o tvrtki pod GDPR je 4 posto svjetskog prometa. U 2017. godini promet tvrtke BA iznosio je više od 12 milijardi funti, tako da ako je tvrtka pogođena takvom novčanom kaznom, ona bi mogla biti više od 480 milijuna funti, iako EU tek treba dati bilo kakvu naznaku o tome može li hakirati kaznu. BA je već ponudio naknadu za klijente pogođene incidentom, koji mogu doseći značajne iznose, pogotovo što mnogi kupci koji su obavijestili BA o incidentu nisu rekli jesu li njihovi podaci o kartici zapravo ukradeni.

Kao iu drugim primjerima komercijalnih kršenja podataka, početno izvješćivanje je pogodilo cijenu dionica tvrtke. Tržišna vrijednost matične grupe BA - grupe International Consolidated Airlines - početno je smanjena za 3,8 posto. No, to je vjerojatno učinak na povjerenje kupaca koji će imati najviše štete.

Trenutačno je nekoliko detalja objavljeno oko metode haka. Stoga može uključivati ​​tradicionalne metode hakiranja za hvatanje podataka iz baze podataka. Ali ako se radi o snimanju detalja o tome koje su tipke korisnici pritisnuli na njihovoj tipkovnici, to bi potreslo temelje naše digitalne financijske infrastrukture u svojoj srži.

Ako postoji jedna stvar koju ovaj hak pokazuje, to je da živimo u iznimno krhkom digitalnom svijetu i tamo gdje hakovi već neko vrijeme ne mogu biti otkriveni. Stoga moramo izgraditi sustave financijskih transfera koji integriraju enkripciju na svakom koraku procesa.

Ovaj članak napisao je Bill Buchanan iz Cyber ​​Academy, Sveučilište Napier u Edinburghu, izvorno je objavljen na razgovoru. Pročitajte izvorni članak.