British Airways krijgt flinke boete rond datalek

17-10-2020 | door: Redactie

British Airways krijgt flinke boete rond datalek

Het Britse Information Commissioner's Office (ICO) heeft British Airways (BA ) een boete van 20 miljoen Britse Pond opgelegd wegens het niet beschermen van de persoonlijke en financiële gegevens van meer dan 400.000 van zijn klanten. Een ICO-onderzoek wees uit dat de luchtvaartmaatschappij een aanzienlijke hoeveelheid persoonlijke gegevens aan het verwerken was zonder dat er adequate beveiligingsmaatregelen waren getroffen. Deze mislukking was in strijd met de gegevensbeschermingswet en vervolgens was BA in 2018 het onderwerp van een cyberaanval, die het gedurende meer dan twee maanden niet ontdekte.

ICO-onderzoekers ontdekten dat BA zwakheden in zijn beveiliging had moeten identificeren en deze had moeten oplossen met beveiligingsmaatregelen die op dat moment beschikbaar waren. Het aanpakken van deze beveiligingsproblemen zou hebben voorkomen dat de cyberaanval van 2018 op deze manier werd uitgevoerd, concludeerden onderzoekers.

Informatiecommissaris Elizabeth Denham zei: “Mensen hebben hun persoonlijke gegevens aan BA toevertrouwd en BA heeft nagelaten passende maatregelen te nemen om die gegevens veilig te houden. Hun nalatigheid was onaanvaardbaar en trof honderdduizenden mensen, wat mogelijk tot enige angst en verdriet heeft geleid. Daarom hebben we BA een boete van £ 20 miljoen gegeven - onze grootste tot nu toe. Wanneer organisaties slechte beslissingen nemen over de persoonlijke gegevens van mensen, kan dat een reële impact hebben op het leven van mensen. De wet geeft ons nu de tools om bedrijven aan te moedigen betere beslissingen te nemen over gegevens, waaronder investeringen in up-to-date beveiliging."

Omdat de BA-inbreuk plaatsvond in juni 2018, voordat het VK de EU verliet, deed de ICO onderzoek namens alle EU-autoriteiten als leidende toezichthoudende autoriteit onder de AVG. De sanctie en actie zijn goedgekeurd door de andere EU DPA's via het samenwerkingsproces van de AVG.

In juni 2019 gaf de ICO BA een voornemen tot boete op. Als onderdeel van het regelgevingsproces heeft de ICO beide verklaringen van BA en de economische impact van COVID-19 op hun bedrijf in overweging genomen voordat een definitieve boete werd opgelegd.

Details van de cyberaanval
Aangenomen wordt dat de aanvaller mogelijk toegang heeft gehad tot de persoonlijke gegevens van ongeveer 429.612 klanten en personeel. Dit omvatte namen, adressen, betaalkaartnummers en CVV-nummers van 244.000 BA-klanten.

Andere gegevens waarvan wordt aangenomen dat ze zijn geopend, zijn de gecombineerde kaart- en CVV-nummers van 77.000 klanten en kaartnummers van slechts 108.000 klanten.

Gebruikersnamen en wachtwoorden van BA-werknemers- en beheerdersaccounts, evenals gebruikersnamen en pincodes van maximaal 612 BA Executive Club-accounts werden ook mogelijk geopend.

Het niet voorkomen van de aanval
BA had tal van maatregelen kunnen nemen om het risico dat een aanvaller toegang krijgt tot het BA-netwerk, te verkleinen of te voorkomen. Deze omvatten:

de toegang tot applicaties, gegevens en tools beperken tot alleen dat wat nodig is om de rol van een gebruiker te vervullen
het uitvoeren van rigoureuze tests, in de vorm van het simuleren van een cyberaanval, op de bedrijfssystemen;
het beschermen van accounts van werknemers en derden met meervoudige authenticatie.
Bijkomende verzachtende maatregelen die BA had kunnen nemen, staan vermeld in de boete.

Geen van deze maatregelen zou tot buitensporige kosten of technische belemmeringen hebben geleid, waarvan sommige beschikbaar zouden zijn via het door BA gebruikte Microsoft-besturingssysteem.

Sinds de aanval heeft BA aanzienlijke verbeteringen aangebracht in zijn IT-beveiliging.

Gebrek aan bewustzijn van de aanval
ICO-onderzoekers ontdekten dat BA de aanval op 22 juni 2018 niet zelf had gedetecteerd, maar meer dan twee maanden later op 5 september door een derde werd gewaarschuwd. Toen ze eenmaal op de hoogte waren, handelde BA onmiddellijk en stelde de ICO op de hoogte.

Het is niet duidelijk of en wanneer BA de aanval zelf zou hebben geïdentificeerd. Dit werd als een ernstige mislukking beschouwd vanwege het aantal getroffen mensen en omdat mogelijke financiële schade groter had kunnen zijn.

Terug naar nieuws overzicht
Security