„British Airways Hack“: tai, kaip įmonės neturėtų tvarkyti duomenų pažeidimų

Chaosas karaliavo „British Airways“, kur įsilaužėliai pavogė apie 380 000 klientų užsakymų. Praeityje įvyko kai kurių prastų atsakymų į kibernetines priemones dėl didelių kompanijų, tačiau šiuo atveju oro linijų bendrovės veiksmai gali būti vienas iš silpniausių pastarojo meto istorijoje. Dalis to gali būti dėl to, kad dabar ES reikalaujama, kad bendrovės praneštų apie kibernetines atakas per 72 valandas, ir todėl, kad dėl tebevykstančio baudžiamojo tyrimo dar gali būti atimta informacija.

Po to, kai bendrovė 2018 m. Gegužės mėn. Patyrė savo IT sistemų galios klausimus, manote, kad dabar BA turėtų planus greičiau ir nuosekliau reaguoti į kompiuterinius incidentus. Tačiau šis naujausias įsilaužimas parodo praleistų galimybių katalogą.

Pirma, įsilaužimas truko ilgiau nei dvi savaites, turint omenyje užsakymus, atliktus nuo rugpjūčio 21 d. Iki rugsėjo 5 d. Nors tai reiškia, kad ne visi BA klientai yra rizikingi - tik tie, kurie per tą laikotarpį užsakė užsakymus - tai dar nėra aišku būtent kas buvo neigiamai paveiktas ir ar dėl to jie praras pinigus.

Kai galiausiai buvo aptiktas įsilaužimas, BA iš pradžių nepateikė pakankamai nuoseklios ir patikimos informacijos apie faktinį duomenų kiekį. Pagrindinė įmonės ataskaita apie įsilaužimą apibūdino duomenis, kurie nebuvo įtraukti - pasas ir kelionės duomenys, tačiau nebuvo nurodyta, kad duomenys apie banko korteles buvo įtraukti, o klientams patariama kreiptis į savo bankus. Tai panašu į tai, kad bandoma pozityviai nugriauti labai blogas žinias, o tai reiškia, kad nebuvo paryškintas galimas klientų, kuriems jie labiausiai rūpi, vagystė - jų kortelės duomenys.

Dažniausiai užduodamų klausimų skiltyje pareiškimo tinklalapyje nurodyta, kad: „Vardai, adresai ir visos banko kortelės duomenys buvo pavojingi“. Tačiau tai nesuteikė faktinės informacijos apie įsilaužimą, pavyzdžiui, ar CVV (kortelės patikros vertė) buvo atskleisti saugumo kodai, esantys kortelės gale, nors BA vėliau šią informaciją pateikė žiniasklaidai. Kad neatskleistų, ar banko duomenys buvo užšifruoti, ar ne, paliekama per daug klausimų, į kuriuos reikia atsakyti.

Kad būtų saugi, BA informuoja visus susijusius klientus atšaukti savo korteles. Tai iš pradžių lėmė užsikimšusias banko telefono linijas dėl didelio klientų skaičiaus. Deja, šiuo metu nėra aišku, kas iš tikrųjų buvo neigiamai paveiktas. Keletas klientų jau pranešė apie savo kortelių sukčiavimą.

Gali būti, kad reakcijos kelio trūkumas buvo susijęs su naujuoju ES bendruoju duomenų apsaugos reglamentu (GDPR), kuriame teigiama, kad tokio pobūdžio duomenų pažeidimai turi būti pateikiami per 72 valandas nuo atradimo.

BA generalinis direktorius Alex Cruz BBC pranešė, kad bendrovė trečiadienio vakarą atrado įsilaužimą ir ketvirtadienio vakarą susisiekė su visais susijusiais klientais. „Pirmas dalykas buvo išsiaiškinti, ar tai buvo kažkas rimto ir kas tai paveikė. Tuo metu, kai buvo pažeisti faktiniai klientų duomenys, mes pradėjome skubų bendravimą su klientais “, - sakė jis.

Jis pridūrė: „Esame pasiryžę dirbti su bet kuriuo klientu, kuris galėjo būti finansiškai paveiktas šio išpuolio, ir mes kompensuosime juos už bet kokius finansinius sunkumus, kuriuos jie galėjo patirti“.

Turėtume būti dėkingi, kad GDPR dėka incidentas buvo paskelbtas greitai. Kredito ataskaitų agentūra „Equifax“ užtruko tris mėnesius, kad praneštų apie savo duomenų pažeidimą 2017 m., Per kurį vadovai pardavė bendrovės akcijas, nors vidaus tyrimas juos ištaisė dėl bet kokios viešai neatskleistos ar netinkamos prekybos, sakydamas, kad jie nežinojo apie incidentą, kai jie prekyba.

Telekomunikacijų įmonės „TalkTalk“ generalinis direktorius Dido Hardingas pateikė vieną iš geriausių pavyzdžių, kaip neatsakyti į duomenų pažeidimą. 2015 m., Kai kompanija buvo nulaužta, „Harding“ pasirodė televizoriuje, kad klientai turėtų pasitikėti el. Laiškais iš „TalkTalk“ adresų ir kuriuose buvo nuorodos į „TalkTalk“ svetainę. Dabar jie suprantami kaip standartiniai metodai, naudojami sukčiai, kad įtikintų klientus, kad el. Laiškai yra autentiški.

Ilgalaikis duomenų pažeidimo poveikis

Didžiausia bauda už įmonės duomenų pažeidimą pagal GDPR yra 4 proc. Pasaulio apyvartos. 2017 m. BA apyvarta viršijo 12 milijardų svarų sterlingų, taigi, jei bendrovė patyrė tokią baudą, ji galėtų būti didesnė nei 480 mln. Svarų sterlingų, nors ES dar turi nurodyti, ar dėl įsilaužimo gali būti skiriama bauda. BA jau siūlo kompensaciją klientams, nukentėjusiems nuo incidento, kuris gali pasiekti didelių sumų, ypač todėl, kad daugelis klientų, kurie BA pranešė apie incidentą, nepranešė, ar jų kortelės duomenys iš tiesų buvo pavogti.

Kaip ir kituose komercinių duomenų pažeidimų pavyzdžiuose, pradinė ataskaita nukentėjo nuo bendrovės akcijų kainos. BA patronuojančios grupės - „International Consolidated Airlines Group“ - rinkos vertė iš pradžių sumažėjo 3,8 proc. Tačiau galbūt labiausiai paveiks klientų pasitikėjimą.

Šiuo metu apie „Hack“ metodą išleista nedaug informacijos. Taigi tai gali apimti tradicinius įsilaužimo į duomenų bazę metodus. Bet jei jis apimtų informacijos apie tai, kokie raktai naudotojai paspaudė klaviatūroje, tai sukrėtė mūsų skaitmeninės finansinės infrastruktūros pagrindą.

Jei yra vienas dalykas, kurį šis įsilaužimas rodo, tai, kad mes gyvename itin trapiame skaitmeniniame pasaulyje ir kur tam tikrą laiką nepastebimi hacks. Taigi, mes turime sukurti finansines perdavimo sistemas, kurios sujungtų šifravimą kiekviename proceso etape.

Šis straipsnis, parašytas Billo Buchanano iš Cyber ​​Academy, Edinburgo Napiero universitetas, iš pradžių buvo paskelbta pokalbyje. Perskaitykite originalų straipsnį.