Naruszenie miało miejsce w 2018 roku i dotyczyło zarówno danych osobowych, jak i danych kart kredytowych. Grzywna jest znacznie mniejsza niż 183 miliony funtów, które ICO pierwotnie zamierzał wyznaczyć. Ale urząd stwierdził, że wziął pod uwagę „wpływ gospodarczy COVID-19”.
Jednak nadal jest to największa kara wydana do tej pory przez ICO – brytyjski urząd zajmujący ochroną danych osobowych, podległy bezpośrednio parlamentowi.
Za co ta gigantyczna kara dla BA?
Do incydentu doszło, gdy systemy BA zostały przejęte przez hakerów, a następnie zmodyfikowane w celu przechwytywania danych klientów w momencie ich wprowadzania. Minęły długie dwa miesiące, zanim BA zostały poinformowane o tym przez badacza bezpieczeństwa. Następnie same linie powiadomiły ICO.
Skradzione dane obejmowały dane logowania, dane dotyczące kart płatniczych i rezerwacji podróży, a także dane dotyczące nazwisk i adresów.
Późniejsze dochodzenie wykazało, że wystarczające środki bezpieczeństwa, takie jak uwierzytelnianie wieloskładnikowe, nie były stosowane w tamtym czasie.
ICO zauważył, że niektóre z tych środków były dostępne w systemie operacyjnym Microsoft, z którego wówczas korzystały BA.
British Airways. Jest wina, musi być kara
– Gdy organizacje podejmują złe decyzje dotyczące danych osobowych ludzi, może to mieć realny wpływ na życie ludzi. Prawo daje nam teraz narzędzia zachęcające firmy do podejmowania lepszych decyzji dotyczących danych, w tym do inwestowania w aktualne zabezpieczenia –powiedziała komisarz ds. informacji Elizabeth Denman.
British Airways oświadczyły, że zaalarmowały klientów, gdy tylko dowiedziały się o ataku na swoje systemy.
– Cieszymy się, że ICO przyznaje, że od czasu ataku dokonaliśmy znacznych ulepszeń w zakresie bezpieczeństwa naszych systemów i że w pełni współpracowaliśmy przy dochodzeniu – powiedział rzecznik BA.
Czytaj też:
Szef British Airways odchodzi. „To najgorszy kryzys w historii branży”