Blog

Blog » HOGYAN KEZELJ EGY ADATLOPÁST? NÉHÁNY GONDOLAT A BRITISH AIRWAYS ÜGYRŐL

HOGYAN KEZELJ EGY ADATLOPÁST? NÉHÁNY GONDOLAT A BRITISH AIRWAYS ÜGYRŐL

24 September 2018

Bizonyára hallottál róla, hogy a British Airways néhány héttel ezelőtt nagyon komoly adatvédelmi incidenst szenvedett. A tudósítások szerint 380.000 utas adata került veszélybe egy 16 napos időszak alatt. Az ügyet nagy médiafelhajtás kísérte, egyes sajtóorgánumok pedig giga GDPR-bírságot és a BA elleni csoportos perlést vetítették előre. Mivel az eset körülményeit még jelenleg is vizsgálják, ahelyett hogy bírságokkal kapcsolatos jóslatokba bocsátkoznék, inkább arról írok, hogy a British Airways (BA) hogyan kezelte az ügyet és mit lehet ebből tanulni.

Gyors reakció

A történéseket rekonstruálva kiderül, hogy az incidens a 2018. augusztus 21. és szeptember 5. közötti időszakot érintette.

Ehhez képest szeptember 6-án a BA már be is jelentette a sajtóban az eseményt és a Brit Adatvédelmi Hatóság közleménye szerint szeptember 7-én már megkapták a BA incidens-bejelentését.

A fenti „idővonal” arra enged következtetni, hogy a BA rendkívül gyorsan reagált, ami egy incidens esetén kritikus. Az azonnali intézkedés ugyanis további károkat előzhet meg és csökkentheti az incidens kockázatait.

Alapos kivizsgálás

A BA természetesen nagyon alapos vizsgálatot rendelt el, melynek keretében azonosította az érintett időszakot, azt hogy milyen adatok és milyen ügyfelek kerültek veszélybe, illetve hogy hogyan történhetett az incidens.

A vizsgálat korai fázisában a BA feltárta, hogy az incidens a weboldalukon és a mobil applikációjukban a már említett 16 nap alatt eszközölt fizetéseket érintette, és hogy alapvetően pénzügyi (bank – illetve hitelkártya) adatok szivárogtak ki, de utazással kapcsolatos vagy útlevél információkat nem loptak el.

A BA az incidens bejelentését követően is folytatta a vizsgálatot és ma már az is ismert, hogy a hackerek egy „skimming” módszert használtak, ami nagyjából azt jelenti, hogy klónozták a fizetésre szolgáló oldalt.

Bejelentés a hatóságnak

Nyilván nem kérdés, hogy egy olyan incidens, ami 380.000 ügyfél bankkártya adatait érintheti, súlyosnak minősül és így be kell jelenteni az adatvédelmi hatóságnak.

A bejelentés határideje 72 óra, ami az incidensről való tudomásszerzéstől ketyeg.

A BA gyakorlatilag egy nappal az észlelést követően már értesítette is az ICO-t, az Egyesült Királyságbeli adtavédelmi hatóságot.

Az ügyfelek értesítése

Nem hinném, hogy bővebb magyarázatra szorul, hogy a bank- illetve hitelkártya adatokat érintő incidens súlyos következményekkel járhat az érintettekre, tehát tájékoztatni kell őket.

Ezt nyilván a BA is felismerte és azonnal elkezdtek intézkedni, hogy értesítsék az ügyfeleiket, kezdve a sajtónyilatkozattal, illetve a honlapjukon közzétett részletes információkkal. Emellett a BA ígéretet tett arra, hogy kapcsolatba fog lépni az összes érintett ügyféllel, amely összhangban van a GDPR-t értelmező Európai Adatvédelmi Testület ajánlásaival.

Ami nekem különösen tetszett a BA tájékoztatójában, hogy egyszerűen, világosan, kérdés-válasz formába rendezve tájékoztatták az ügyfeleket és tanácsot adtak, hogy mit tegyenek, például, hogy vegyék fel a kapcsolatot a bankjukkal vagy a hitelkártya szolgáltatójukkal.

Összefoglalás

Az én véleményem az, hogy a BA tankönyvszerűen kezelte az incidenst, leegyszerűsítve minden, a GDPR által előírt intézkedést határidőben tettek meg.

Az más kérdés, hogy az adatbiztonsági intézkedéseik megfelelőek voltak-e vagy hogy az incidenst meg lehetett-e volna előzni.

Remélhetőleg céged sohasem fog ilyen súlyos incidenst megtapasztalni, de ha mégis, gondolj vissza a BA akciótervére mint jó példára.