British Airways Hack: Dette er, hvordan virksomheder ikke bør håndtere data brud

Chaos ser ud til at regere hos British Airways, hvor hackere stjal detaljerne omkring 380.000 kundebestillinger. Der har været nogle dårlige svar på cyberangreb på større virksomheder i fortiden, men flyselskabets handlinger, i dette tilfælde, kunne være en af ​​svageste i nyere historie. En del af dette kan skyldes, at virksomheder nu er forpligtet af EU til at rapportere cyberangreb inden for 72 timer, og fordi oplysninger stadig kan tilbageholdes på grund af igangværende kriminelle undersøgelser.

Efter at selskabet oplevede magtproblemer inden for sine it-systemer i maj 2018, ville du tro at BA nu ville have planer om at reagere hurtigere og sammenhængende på computerhændelser. Men dette seneste hack synes at vise et katalog med savnede muligheder.

For det første ser hacket at have varet i mere end to uger, hvilket påvirker bookinger foretaget mellem 21. august og 5. september. Selvom det betyder, at ikke alle BA-kunder er i fare - bare dem, der har foretaget bookinger i den periode - det er heller ikke helt klart Præcis, hvem der er blevet påvirket negativt, og om de vil tabe penge som følge heraf.

Da hacken endelig blev opdaget, tilvejebragte BA ikke oprindeligt tilstrækkelig sammenhængende og robust information om det faktiske omfang af de indsamlede data. Selskabets hovedopgørelse om hack definerede de data, der ikke var inkluderet - pas og rejseoplysninger - men stavede ikke ud, at bankkortoplysninger var involveret, men rådede kunderne til at kontakte deres banker. Det ser ud som om at forsøge at sætte et positivt spin på meget dårlige nyheder, og det betyder, at potentielle tyveri af, hvad kunderne er mest bekymrede over - deres kortoplysninger - ikke blev fremhævet.

I afsnittet om ofte stillede spørgsmål på erklæringens hjemmeside hedder det, at: "Navne, adresser og alle bankkortoplysninger var alle i fare". Men det gav ikke de faktiske detaljer om hacket, som om CVV'en (Card Verification Value) sikkerhedskoder fundet på bagsiden af ​​kortene blev afsløret, selv om BA senere leverede denne information til medierne. For ikke at afsløre, om bankoplysningerne var krypterede eller ej, forlades for mange spørgsmål stadig.

For at være på den sikre side rådgiver BA alle berørte kunder om at annullere deres kort. Dette medførte i første omgang tilstoppede banktelefonlinjer på grund af det store antal berørte kunder. Desværre er det for øjeblikket ikke klart, hvem der faktisk er blevet påvirket negativt. Flere kunder har allerede rapporteret bedrageri på deres kort.

Reaktionens knækkende karakter skyldtes sandsynligvis EU's nye generelle databeskyttelsesforordning (GDPR), der siger, at dataindbrud af denne art skal rapporteres inden for 72 timer efter opdagelsen.

BAs administrerende direktør, Alex Cruz, fortalte BBC, at selskabet opdagede hack onsdag aften og havde kontaktet alle berørte kunder i torsdag aften. "Det første var at finde ud af om det var noget seriøst og hvem det ramte eller ej. I det øjeblik, at faktiske kundedata var blevet kompromitteret, det var da vi begyndte øjeblikkelig kommunikation til vores kunder, "sagde han.

Han tilføjede: "Vi er forpligtet til at arbejde sammen med enhver kunde, der kan have været økonomisk ramt af dette angreb, og vi vil kompensere dem for eventuelle økonomiske problemer, de måtte have lidt."

Vi burde være taknemmelige for, at hændelsen i det mindste blev offentliggjort hurtigt takket være GDPR. Kreditrapporteringsselskabet Equifax tog tre måneder til at rapportere sit brud på data i 2017, i hvilket tidspunkt ledere solgte aktier i selskabet, selvom en intern undersøgelse ryddet dem fra enhver insider eller upassende handel, idet de sagde, at de ikke havde været uvidende om hændelsen, da de lavede handler.

Dido Harding, administrerende direktør for teleselskabet TalkTalk, gav et af de bedste eksempler på, hvordan man ikke kunne reagere på et data brud. Efter at firmaet blev hacket i 2015, kom Harding på tv, der tyder på, at kunderne skulle have tillid til e-mails fra TalkTalk-adresser, og som indeholdt links hen til TalkTalk-webstedet. Disse forstås nu at være standardteknikker, der anvendes af svindlere til at overbevise kunderne om, at deres e-mails er ægte.

Langsigtet indvirkning på databruddet

Den maksimale bøde for et selskabs databrud under GDPR er 4 procent af verdensomspændende omsætning. I 2017 var BA's omsætning mere end 12 mia. Kr., Så hvis virksomheden blev ramt af en sådan bøde, kunne den være over £ 480 mio., Selv om EU endnu ikke har angivet, om hacket kunne medføre en bøde. BA har allerede tilbudt kompensation for kunder, der er berørt af hændelsen, hvilket kan nå betydelige beløb, især da mange kunder, som BA var opmærksom på hændelsen, ikke blev fortalt, om deres kortoplysninger faktisk var blevet stjålet.

Som i andre eksempler på kommercielle overtrædelser af data har den oprindelige indberetning ramt selskabets aktiekurs. Markedsværdien af ​​BAs moderselskab - International Consolidated Airlines Group - blev oprindelig dækket med 3,8 procent. Men det er muligvis effekten på kundernes tillid, der vil få mest skade.

På nuværende tidspunkt er få detaljer blevet frigivet omkring metoden for hack. Så det kan involvere traditionelle hacking metoder til at indsamle data fra en database. Men hvis det involverede at fange detaljer om hvilke nøgler brugere trykker på deres tastatur, ville det ryste fundamentet for vores digitale finansielle infrastruktur til kernen.

Hvis der er en ting, som dette hack viser, er det, at vi lever i en ekstremt skrøbelig digital verden, og hvor hacks kan gå uden opdagelse i nogen tid. Så vi skal bygge finansielle overførselssystemer, der integrerer kryptering i hvert enkelt trin af processen.

Denne artikel, skrevet af Bill Buchanan fra The Cyber ​​Academy, Edinburgh Napier University, blev oprindeligt udgivet på The Conversation. Læs den oprindelige artikel.