Бритисх Аирваис хакује: ово је начин на који компаније не би требало да рукују подацима

Чини се да каос влада у Бритисх Аирваису, гдје су хакери украли детаље око 380.000 резервација купаца. Било је неких лоших одговора на цибер нападе на велике компаније у прошлости, али акције авио компаније, у овом случају, могу бити једна од најслабијих у новијој историји. Део тога може бити због тога што је ЕУ сада обавезна да извештава о сајбер нападима у року од 72 сата, и зато што се информације још увек могу задржати због текуће кривичне истраге.

Након што је компанија искусила проблеме са напајањем у својим ИТ системима у мају 2018. године, помислили бисте да би БА сада имала планове да брже и кохерентније реагује на компјутерске инциденте. Ипак, изгледа да овај најновији хак показује каталог пропуштених прилика.

Прво, хацк изгледа да је трајао више од две недеље, утичући на резервације направљене између 21. августа и 5. септембра. Иако то значи да нису сви клијенти БА у опасности - само они који су направили резервације током тог периода - такође још није јасно ко је негативно погођен и да ли ће изгубити новац као резултат тога.

Када је хак коначно откривен, БА у почетку није пружио довољно кохерентних и чврстих информација о стварном обиму прикупљених података. Главна изјава компаније о хакирању дефинисала је податке који нису укључени - податке о пасошу и путовању - али нису навели да су у питању подаци о банковним картицама, већ су саветовали клијенте да контактирају своје банке. Ово изгледа као покушај да се позитивно окреће веома лошим вијестима, а то значи да потенцијална крађа онога што су купци највише забрињавају - детаљи о картицама - није истакнута.

У одјељку често постављаних питања на веб страници ове изјаве наводи се: "Имена, адресе и сви детаљи банковних картица су били у опасности." Али то није дало стварне детаље хака, као што је да ли је ЦВВ (вредност верификације картице) откривене су сигурносне шифре пронађене на полеђини картица, иако је БА касније дала ову информацију медијима. Да не откријемо да ли су подаци о банци шифровани или не, остаје превише питања за одговоре.

Да би била сигурна, БА саветује све погођене клијенте да откажу своје картице. То је првобитно довело до зачепљених телефонских линија банке због великог броја погођених клијената. Нажалост, тренутно није јасно ко је заправо био негативно погођен. Неколико купаца је већ пријавило преваре на својим картицама.

Повремена реакција на колена је вероватно била последица новог општег прописа ЕУ о заштити података (ГДПР) који каже да се кршења ове врсте података морају пријавити у року од 72 сата од открића.

Генерални директор БА-а, Алек Цруз, изјавио је за ББЦ да је компанија открила хак у среду увече и да је контактирала све погођене клијенте до четвртка увече. “Прва ствар је била да сазнамо да ли је то нешто озбиљно и на кога се то односи или не. У тренутку када су стварни подаци о клијентима компромитовани, то је када смо одмах почели са комуникацијом са нашим клијентима “, рекао је он.

Он је додао: "Ми смо посвећени раду са сваким клијентом који је можда био финансијски погођен овим нападом, и ми ћемо их надокнадити за било какве финансијске тешкоће које су можда претрпеле."

Требало би да будемо захвални што је, захваљујући ГДПР-у, инцидент брзо објављен. Агенцији за извјештавање о кредиту Екуифак требало је три мјесеца да пријаве свој кршење података у 2017. години, током којег су извршни директори продали дионице у компанији, иако их је интерна истрага очистила од било каквог инсајдера или неприкладне трговине, рекавши да нису знали за инцидент када су традес.

Дидо Хардинг, извршни директор телекомуникацијске компаније ТалкТалк, дао је један од најбољих примјера како не одговорити на кршење података. Након што је компанија била хакирана 2015. године, Хардинг се појавио на ТВ-у, сугеришући да би клијенти требали имати повјерења у е-маилове са ТалкТалк адреса и који су садржавали линкове до ТалкТалк веб странице. Ово се сада схвата као стандардне технике које користе преваранти да убеде клијенте да су им е-поруке оригиналне.

Дугорочни утицај кршења података

Максимална новчана казна за кршење података о предузећу у оквиру ГДПР-а је 4 посто свјетског промета. У 2017. години, обрт компаније БА је износио више од 12 милијарди фунти, тако да ако је компанија погођена таквом новчаном казном, она би могла бити преко 480 милиона фунти, иако ЕУ тек треба да назначи да ли би хак могао довести до казне. БА је већ понудио надокнаду за клијенте погођене инцидентом, који могу досећи значајне износе, поготово што многи купци који су упозорили БА на инцидент нису рекли да ли су њихови подаци о картици заправо украдени.

Као иу другим примјерима кршења комерцијалних података, почетно извјештавање је погодило цијену дионица компаније. Тржишна вриједност матичне групе БА - Интернатионал Цонсолидатед Аирлинес Гроуп - је у почетку била смањена за 3,8 посто. Али то је вероватно ефекат на поверење купаца који ће имати највише штете.

Тренутно, неколико детаља је објављено око методе хака. Дакле, то може укључивати традиционалне методе хакирања хватања података из базе података. Али ако се ради о снимању детаља о томе који су кључеви корисници притиснули на њиховој тастатури, то би уздрмало темеље наше дигиталне финансијске инфраструктуре.

Ако постоји једна ствар коју овај хак показује, то је да живимо у изузетно крхком дигиталном свијету и тамо гдје хакови могу остати неоткривени неко вријеме. Дакле, морамо изградити системе финансијских трансфера који интегрирају енкрипцију на сваком кораку процеса.

Овај чланак, написао је Билл Буцханан из Тхе Цибер Ацадеми, Единбургх Напиер Университи, првобитно је објављен на конверзацији. Прочитајте оригинални чланак.