Blog
Blog » HOGYAN KEZELJ EGY ADATLOPÁST? NÉHÁNY GONDOLAT A BRITISH AIRWAYS ÜGYRŐL
HOGYAN KEZELJ EGY ADATLOPÁST? NÉHÁNY GONDOLAT A BRITISH AIRWAYS ÜGYRŐL
24 September 2018
Bizonyára hallottál róla, hogy a British Airways néhány héttel ezelőtt nagyon komoly adatvédelmi incidenst szenvedett. A tudósítások szerint 380.000 utas adata került veszélybe egy 16 napos időszak alatt. Az ügyet nagy médiafelhajtás kísérte, egyes sajtóorgánumok pedig giga GDPR-bírságot és a BA elleni csoportos perlést vetítették előre. Mivel az eset körülményeit még jelenleg is vizsgálják, ahelyett hogy bírságokkal kapcsolatos jóslatokba bocsátkoznék, inkább arról írok, hogy a British Airways (BA) hogyan kezelte az ügyet és mit lehet ebből tanulni.
Gyors reakció
A történéseket rekonstruálva kiderül, hogy az incidens a 2018. augusztus 21. és szeptember 5. közötti időszakot érintette.
Ehhez képest szeptember 6-án a BA már be is jelentette a sajtóban az eseményt és a Brit Adatvédelmi Hatóság közleménye szerint szeptember 7-én már megkapták a BA incidens-bejelentését.
A fenti „idővonal” arra enged következtetni, hogy a BA rendkívül gyorsan reagált, ami egy incidens esetén kritikus. Az azonnali intézkedés ugyanis további károkat előzhet meg és csökkentheti az incidens kockázatait.
Alapos kivizsgálás
A BA természetesen nagyon alapos vizsgálatot rendelt el, melynek keretében azonosította az érintett időszakot, azt hogy milyen adatok és milyen ügyfelek kerültek veszélybe, illetve hogy hogyan történhetett az incidens.
A vizsgálat korai fázisában a BA feltárta, hogy az incidens a weboldalukon és a mobil applikációjukban a már említett 16 nap alatt eszközölt fizetéseket érintette, és hogy alapvetően pénzügyi (bank – illetve hitelkártya) adatok szivárogtak ki, de utazással kapcsolatos vagy útlevél információkat nem loptak el.
A BA az incidens bejelentését követően is folytatta a vizsgálatot és ma már az is ismert, hogy a hackerek egy „skimming” módszert használtak, ami nagyjából azt jelenti, hogy klónozták a fizetésre szolgáló oldalt.
Bejelentés a hatóságnak
Nyilván nem kérdés, hogy egy olyan incidens, ami 380.000 ügyfél bankkártya adatait érintheti, súlyosnak minősül és így be kell jelenteni az adatvédelmi hatóságnak.
A bejelentés határideje 72 óra, ami az incidensről való tudomásszerzéstől ketyeg.
A BA gyakorlatilag egy nappal az észlelést követően már értesítette is az ICO-t, az Egyesült Királyságbeli adtavédelmi hatóságot.
Az ügyfelek értesítése
Nem hinném, hogy bővebb magyarázatra szorul, hogy a bank- illetve hitelkártya adatokat érintő incidens súlyos következményekkel járhat az érintettekre, tehát tájékoztatni kell őket.
Ezt nyilván a BA is felismerte és azonnal elkezdtek intézkedni, hogy értesítsék az ügyfeleiket, kezdve a sajtónyilatkozattal, illetve a honlapjukon közzétett részletes információkkal. Emellett a BA ígéretet tett arra, hogy kapcsolatba fog lépni az összes érintett ügyféllel, amely összhangban van a GDPR-t értelmező Európai Adatvédelmi Testület ajánlásaival.
Ami nekem különösen tetszett a BA tájékoztatójában, hogy egyszerűen, világosan, kérdés-válasz formába rendezve tájékoztatták az ügyfeleket és tanácsot adtak, hogy mit tegyenek, például, hogy vegyék fel a kapcsolatot a bankjukkal vagy a hitelkártya szolgáltatójukkal.
Összefoglalás
Az én véleményem az, hogy a BA tankönyvszerűen kezelte az incidenst, leegyszerűsítve minden, a GDPR által előírt intézkedést határidőben tettek meg.
Az más kérdés, hogy az adatbiztonsági intézkedéseik megfelelőek voltak-e vagy hogy az incidenst meg lehetett-e volna előzni.
Remélhetőleg céged sohasem fog ilyen súlyos incidenst megtapasztalni, de ha mégis, gondolj vissza a BA akciótervére mint jó példára.
-
HOW TO EMPLOY NON-EEA NATIONALS IN HUNGARY? PART II – THE EMPLOYMENT OF ORDINARY WORKERS
After introducing the types of residence permits for employment purposes in our previous article, this time we will examine in detail the forms of employing “ordinary workers” in Hungary based on the new legal environment. By “ordinary workers” we mean workers who do not belong to the category of highly competent employees, which will be discussed in the next part of this series.
Read more » -
HOW CAN YOU USE REAL ESTATE AS COMPANY SEAT IN HUNGARY
In Hungary the companies must have a company seat. There are several ways to use real estate as a company seat, however it is important to note that the authority regularly checks the legal basis of the use of the company’s seat. In this article, we present 3 ways to use real estate as company seat.
Read more » -
HOW TO EMPLOY NON-EEA NATIONALS IN HUNGARY? PART I – RESIDENCE TITLES AND PROCEDURAL RULES
In the first quarter of 2024, the Hungarian lawmaker created a completely new legal environment for the employment of third-country nationals and introduced special residence titles. We will introduce the new legal regime in a series of articles, the first part of which will cover the types of residence permits for employment purposes and the procedural rules.
Read more »