Nová európska legislatíva pre ochranu osobných a citlivých údajov zákazníkov, známa pod skratkou GDPR, je v platnosti už niekoľko rokov. Jedna z firiem, ktoré budú niesť následky za nedostatočnú ochranu osobných údajov svojich zákazníkov bude aj letecká spoločnosť British Airways.
Vráťme sa ale najskôr do roku 2018, kedy v júni spoločnosť British Airways napadli kybernetickí útočníci. Útok bol úspešný a kriminálnikom sa podarilo odcudziť osobné údaje o zákazníkoch leteckej spoločnosti, mimo iné aj čísla platobných kariet a CVC kódy. Zároveň sa útočníkom podarilo získať prihlasovacie údaje zamestnancov spoločnosti, mimo iné aj pracovníkov IT oddelenia.
Aktuálne Britský informačný úrad po ukončení vyšetrovania vydal nekompromisné stanovisko a spoločnosti British Airways uložil pokutu vo výške 20 miliónov libier. Vyšetrovanie preukázalo, že letecká spoločnosť zlyhala vo viacerých ohľadoch. Útočníkom sa podarilo získať citlivé dáta až 430 tisíc ľudí, ktoré boli na serveroch uložené v nezašifrovanom formáte, teda voľne čitateľné. Zároveň bolo preukázané, že spoločnosť British Airways podcenila aj zabezpečenie a detekciu útoku a nepoužila bežne dostupné zabezpečenie pre prihlasovanie zamestnancov – ako dvojfaktorovú autentifikáciu a podobne.
Firma British Airways má však zároveň šťastie v nešťastí. Pôvodná výška sankcií bola stanovená až na závratnú sumu 183 miliónov libier. Kvôli prebiehajúcej pandémii Covid-19 a ekonomickým dopadom na spoločnosť, bola nakoniec suma znížená na 20 miliónov libier alebo 4% ročného obratu spoločnosti.
Aj na tomto prípade je vidieť, aké dôležité je zabezpečenie citlivých a osobných údajov zákazníkov. Pokuty, v prípade nedodržania nariadení GDPR a bezpečnostných povinností, sú vysoké a prísne.