Datalek kost £183 miljoen

juli 10, 2019

Het Britisch Information Commissioner’s Office (ICO) heeft verklaard dat het British Airways een boete zal opleggen van £183 miljoen voor een datalek van afgelopen jaar. Vergeleken met de boete die Facebook kreeg opgelegd van de EU vanwege Cambridge Analytica, is dit bedrag honderden keren hoger. In dit artikel kijken we naar wat er fout is gegaan en vertellen we waarom er zo’n groot verschil is tussen de boetes en waarom het slim is om van tevoren goed na te denken over databescherming.

British Airways datalek — wat ging er mis?

Afgelopen herfst verklaarde British Airways dat van 21 augustus tot en met 5 september externe boosdoeners toegang hadden gekregen tot gebruikersdata die via de website of de mobiele app een ticket hadden gekocht of omgeboekt. De aanvallers hebben informatie van circa 500.000 klanten gestolen. De informatie bevatte alles wat de slachtoffers in de velden van online formulieren hadden ingevuld: gebruikersnamen, wachtwoorden, namen en adressen, bankkaartgegevens, inclusief CVC codes, enzovoort.

Het onderzoek concludeerde dat British Airways was aangevallen door de cybercriminelengroep Magecart, bekend om de kwaadaardige scripts op e-commerce websites voor het stelen van financiële data.  De aanval op British Airways was geen uitzondering, want hier was ook sprake een aanval op de website. Gebruikers van de mobiele app waren ook slachtoffer geworden, omdat de app enkele functies direct van de website haalde.

GDPR-boete

Hoewel British Airways het incident tijdig bekend heeft gemaakt en meegewerkt heeft bij het onderzoek, is het ondenkbaar dat het bedrijf een boete moet betalen. Volgens de GDPR-regelgeving moet een bedrijf dat persoonlijke gegevens hanteert van EU-inwoners alles eraan doen om de veiligheid van die data te garanderen. Uit het onderzoek kwam echter dat de website van het bedrijf niet goed genoeg beveiligd was. Na het incident werden er natuurlijke nieuwe veiligheidsmaatregelen getroffen, maar dat verandert niets aan de verantwoordelijkheid voor het voorgaande incident.

Facebook, dat een datalek had van ongeveer 87 miljoen gebruikers, kreeg in Europa slechts een boete van £500.000. Dat was de hoogst mogelijke boete volgens het artikel uit 1998 wat betreft Databescherming, vóór GDPR.

Beschermingsmaatregelen kosten minder dan een mogelijke boete

De boete die BA opgelegd zal krijgen voor het datalek van afgelopen jaar is nog niet vastgesteld: het ICO zal inspraak van andere Europese autoriteiten en van British Airways zelf. Het bedrag is echter wel een richtlijn. Het implementeren van gepaste veiligheidsmaatregelen en het voorkomen van zulke incidenten is echter veel goedkoper. Mocht u persoonlijke informatie van Europese gebruikers hanteren, en vooral als het gaat om bankgegevens, dan raden we aan om onmiddellijk actie te ondernemen en het implementeren van betrouwbare veiligheidsmaatregelen niet langer uit te stellen.

Preventieve veiligheidsmaatregelen zijn vooral belangrijk bij e-commerce of online bankieren, waarbij de website beschermd moet worden tegen scripts voor online skimming. In ons Kaspersky Fraud Prevention platform hebben we een functie genaamd Automated Fraud Analytics die het mogelijk maakt om handelingen op een website te analyseren tijdens een gebruikerssessie. Het kan verschillende online dreigingen identificeren, waaronder ook kwaadaardige scripts. Leer meer over de veiligheidsoplossing in onze Fraud Prevention site.