Blog
Blog » HOGYAN KEZELJ EGY ADATLOPÁST? NÉHÁNY GONDOLAT A BRITISH AIRWAYS ÜGYRŐL
HOGYAN KEZELJ EGY ADATLOPÁST? NÉHÁNY GONDOLAT A BRITISH AIRWAYS ÜGYRŐL
2018 Szeptember 24
Bizonyára hallottál róla, hogy a British Airways néhány héttel ezelőtt nagyon komoly adatvédelmi incidenst szenvedett. A tudósítások szerint 380.000 utas adata került veszélybe egy 16 napos időszak alatt. Az ügyet nagy médiafelhajtás kísérte, egyes sajtóorgánumok pedig giga GDPR-bírságot és a BA elleni csoportos perlést vetítették előre. Mivel az eset körülményeit még jelenleg is vizsgálják, ahelyett hogy bírságokkal kapcsolatos jóslatokba bocsátkoznék, inkább arról írok, hogy a British Airways (BA) hogyan kezelte az ügyet és mit lehet ebből tanulni.
Gyors reakció
A történéseket rekonstruálva kiderül, hogy az incidens a 2018. augusztus 21. és szeptember 5. közötti időszakot érintette.
Ehhez képest szeptember 6-án a BA már be is jelentette a sajtóban az eseményt és a Brit Adatvédelmi Hatóság közleménye szerint szeptember 7-én már megkapták a BA incidens-bejelentését.
A fenti „idővonal” arra enged következtetni, hogy a BA rendkívül gyorsan reagált, ami egy incidens esetén kritikus. Az azonnali intézkedés ugyanis további károkat előzhet meg és csökkentheti az incidens kockázatait.
Alapos kivizsgálás
A BA természetesen nagyon alapos vizsgálatot rendelt el, melynek keretében azonosította az érintett időszakot, azt hogy milyen adatok és milyen ügyfelek kerültek veszélybe, illetve hogy hogyan történhetett az incidens.
A vizsgálat korai fázisában a BA feltárta, hogy az incidens a weboldalukon és a mobil applikációjukban a már említett 16 nap alatt eszközölt fizetéseket érintette, és hogy alapvetően pénzügyi (bank – illetve hitelkártya) adatok szivárogtak ki, de utazással kapcsolatos vagy útlevél információkat nem loptak el.
A BA az incidens bejelentését követően is folytatta a vizsgálatot és ma már az is ismert, hogy a hackerek egy „skimming” módszert használtak, ami nagyjából azt jelenti, hogy klónozták a fizetésre szolgáló oldalt.
Bejelentés a hatóságnak
Nyilván nem kérdés, hogy egy olyan incidens, ami 380.000 ügyfél bankkártya adatait érintheti, súlyosnak minősül és így be kell jelenteni az adatvédelmi hatóságnak.
A bejelentés határideje 72 óra, ami az incidensről való tudomásszerzéstől ketyeg.
A BA gyakorlatilag egy nappal az észlelést követően már értesítette is az ICO-t, az Egyesült Királyságbeli adtavédelmi hatóságot.
Az ügyfelek értesítése
Nem hinném, hogy bővebb magyarázatra szorul, hogy a bank- illetve hitelkártya adatokat érintő incidens súlyos következményekkel járhat az érintettekre, tehát tájékoztatni kell őket.
Ezt nyilván a BA is felismerte és azonnal elkezdtek intézkedni, hogy értesítsék az ügyfeleiket, kezdve a sajtónyilatkozattal, illetve a honlapjukon közzétett részletes információkkal. Emellett a BA ígéretet tett arra, hogy kapcsolatba fog lépni az összes érintett ügyféllel, amely összhangban van a GDPR-t értelmező Európai Adatvédelmi Testület ajánlásaival.
Ami nekem különösen tetszett a BA tájékoztatójában, hogy egyszerűen, világosan, kérdés-válasz formába rendezve tájékoztatták az ügyfeleket és tanácsot adtak, hogy mit tegyenek, például, hogy vegyék fel a kapcsolatot a bankjukkal vagy a hitelkártya szolgáltatójukkal.
Összefoglalás
Az én véleményem az, hogy a BA tankönyvszerűen kezelte az incidenst, leegyszerűsítve minden, a GDPR által előírt intézkedést határidőben tettek meg.
Az más kérdés, hogy az adatbiztonsági intézkedéseik megfelelőek voltak-e vagy hogy az incidenst meg lehetett-e volna előzni.
Remélhetőleg céged sohasem fog ilyen súlyos incidenst megtapasztalni, de ha mégis, gondolj vissza a BA akciótervére mint jó példára.
-
MEDDIG TERJED A BÍRÓ DÖNTÉSI SZABADSÁGA?
Mit tehet a bíró, ha a tények alátámasztják a felperes keresetét, de a fél tévesen jelöli meg kereseti kérelme jogcímét? Megítélheti ilyenkor a bíróság a felperes követelését a helyes jogalapon? A kérdésre a 2018. óta hatályos polgári perrendtartás egyértelmű választ ad, rövid cikkünkben pedig egy friss kúriai döntésen keresztül járjuk körül a jogcímhez kötöttség témakörét.
Bővebben » -
A PENNÁTÓL A PENDRIVE-IG – II. RÉSZ: KONZERVATÍV POLGÁRI JOG
Amint arra legutóbbi cikkünkben is utaltunk, az írásbeliség kapcsán a Polgári Törvénykönyvben lefektetett szabályok iránymutatásul szolgálnak valamennyi jogterület kapcsán. Ebből kifolyólag cikksorozatunkban az egyes jogterületek vizsgálatát a polgári joggal fogjuk kezdeni. Körbejárva a bírói gyakorlatot látni fogjuk, hogy a többi jogághoz képest a polgári jogi területen szigorúbb felfogással találkozhatunk és a hétköznapi értelemben vett írásbeli kommunikáció sok esetben nem felel meg az írásbeliség polgári jogi kritériumainak .
Bővebben » -
VERSENGŐ VÁLASZTOTTBÍRÓSÁGI ÉS RENDES BÍRÓSÁGI KIKÖTÉSEK – ELŐADÁS A MAGYAR VÁLASZTOTTBÍRÓSÁGI EGYESÜLET KÖZGYŰLÉSÉN
A Magyar Választottbírósági Egyesület (MVbE) 2022. december 16. napján tartotta éves közgyűlését, melyet követően Irodánk vezető partnere, dr.Schmidt Richárd tartott online előadást „Dupla vagy semmi? - Versengő választottbírósági és rendes bírósági kikötések” címmel.
Bővebben »