British Airways Hack: Ini Adalah Bagaimana Syarikat Tidak Dapat Mengendalikan Pelanggaran Data

Kekacauan muncul untuk memerintah di British Airways, di mana penggodam mencuri maklumat sekitar 380,000 tempahan pelanggan. Terdapat beberapa respon yang tidak baik terhadap cyberattacks pada syarikat-syarikat utama pada masa lalu, tetapi tindakan syarikat penerbangan, dalam hal ini, mungkin salah satu yang paling lemah dalam sejarah baru-baru ini. Sebahagian daripada ini mungkin kerana syarikat kini dikehendaki oleh EU untuk melaporkan serangan siber dalam masa 72 jam, dan kerana maklumat mungkin masih ditahan kerana siasatan jenayah yang sedang berjalan.

Selepas syarikat mengalami masalah kuasa dalam sistem IT pada Mei 2018, anda akan berfikir bahawa BA kini akan mempunyai rancangan untuk bertindak balas terhadap insiden komputer dengan lebih cepat dan bersatu. Namun, hack terbaru ini kelihatan menunjukkan katalog peluang yang tidak dijawab.

Pertama sekali, hack itu kelihatan bertahan selama lebih dari dua minggu, menjejaskan tempahan dibuat antara 21 Ogos dan 5 September. Walaupun ini bermakna tidak semua pelanggan BA berisiko - hanya mereka yang membuat tempahan dalam tempoh itu - ia masih belum jelas betul-betul yang telah terjejas secara negatif dan sama ada mereka akan kehilangan wang akibatnya.

Apabila hack akhirnya ditemui, BA tidak pada mulanya memberikan maklumat yang cukup koheren dan mantap mengenai skop sebenar data yang diambil. Kenyataan utama syarikat mengenai hack menggambarkan data yang tidak termasuk - pasport dan butiran perjalanan - tetapi tidak menyatakan bahawa butiran kad bank terlibat, sebaliknya memberi nasihat kepada pelanggan untuk menghubungi bank mereka. Ini seolah-olah cuba untuk meletakkan putaran positif pada berita yang sangat buruk, dan bererti bahawa kecurian potensi apa yang paling bimbang pelanggan - butiran kad mereka - tidak ditonjolkan.

Dalam bahagian soalan yang sering ditanya di laman web pernyataan itu, menyatakan: "Nama, alamat, dan semua butiran kad bank semuanya berisiko." Tetapi ini tidak memberikan butiran sebenar mengenai hack itu, sama ada CVV (nilai pengesahan kad) kod keselamatan yang terdapat di belakang kad telah dinyatakan, walaupun BA kemudian memberikan maklumat ini kepada media. Untuk tidak mendedahkan jika butiran bank disulitkan atau tidak, meninggalkan terlalu banyak soalan masih harus dijawab.

Untuk berada di tempat yang selamat, BA menasihati semua pelanggan yang terlibat untuk membatalkan kad mereka. Ini pada mulanya membawa kepada saluran telefon bank tersumbat kerana jumlah pelanggan yang terjejas. Malangnya, pada masa ini, tidak jelas siapa yang sebenarnya telah terjejas. Beberapa pelanggan telah melaporkan penipuan pada kad mereka.

Sifat tindak balas lutut mungkin disebabkan oleh peraturan perlindungan data am umum EU (GDPR) yang mengatakan pelanggaran data jenis ini mesti dilaporkan dalam masa 72 jam penemuan.

Ketua Pegawai Eksekutif BA, Alex Cruz, memberitahu BBC bahawa syarikat itu menemui peretasan itu pada petang Rabu dan telah menghubungi semua pelanggan yang terjejas pada malam Khamis. "Perkara pertama adalah untuk mengetahui sama ada sesuatu yang serius dan siapa yang terlibat atau tidak. Pada masa ini data pelanggan sebenar telah dikompromi, itulah ketika kami memulakan komunikasi dengan segera kepada pelanggan kami, "katanya.

Beliau menambah: "Kami komited untuk bekerja dengan mana-mana pelanggan yang mungkin telah terjejas secara kewangan oleh serangan ini, dan kami akan memberi pampasan kepada mereka untuk apa-apa kesulitan kewangan yang mungkin mereka alami."

Kita harus bersyukur kerana terima kasih kepada GDPR, insiden itu sekurang-kurangnya dipublikasikan dengan cepat. Agensi pelaporan kredit Equifax mengambil masa tiga bulan untuk melaporkan pelanggaran datanya pada tahun 2017, di mana eksekutif masa menjual saham dalam syarikat itu, walaupun satu penyiasatan dalaman membersihkan mereka dari mana-mana orang dalam atau perdagangan yang tidak sesuai, mengatakan bahawa mereka tidak menyedari kejadian itu ketika mereka membuat perdagangan.

Dido Harding, ketua firma telekom TalkTalk, menyediakan salah satu contoh terbaik tentang bagaimana untuk tidak bertindak balas terhadap pelanggaran data. Selepas syarikat itu diretas pada tahun 2015, Harding muncul di TV yang menyarankan pelanggan harus mempercayai e-mel daripada alamat TalkTalk dan yang mengandungi pautan melalui laman web TalkTalk. Ini kini difahami sebagai teknik standard yang digunakan oleh penipu untuk meyakinkan pelanggan e-mel mereka adalah tulen.

Kesan Jangka Panjang Pelanggaran Data

Denda maksimum untuk pelanggaran data syarikat di bawah GDPR adalah 4 peratus daripada perolehan di seluruh dunia. Pada tahun 2017, perolehan BA lebih daripada £ 12 bilion, jadi jika syarikat itu dipukul dengan denda itu boleh lebih dari £ 480m, walaupun EU belum membuat sebarang petunjuk sama ada peretasan itu boleh membawa kepada denda. BA telah pun menawarkan pampasan kepada pelanggan yang terjejas oleh insiden itu, yang mungkin mencecah jumlah yang signifikan terutamanya kerana ramai pelanggan yang memaklumkan kejadian itu tidak dimaklumkan sama ada maklumat kad mereka telah dicuri.

Seperti dalam contoh lain pelanggaran data komersial, laporan awal telah melanda harga saham syarikat. Nilai pasaran kumpulan induk BA - Kumpulan Konsolidasi Antarabangsa - pada awalnya telah berkurang sebanyak 3.8 peratus. Tetapi ini mungkin kesan kepada kepercayaan pelanggan yang akan mengalami kerosakan yang paling.

Pada masa ini, beberapa butiran telah dikeluarkan di sekitar kaedah hack tersebut. Oleh itu, ia mungkin melibatkan kaedah penggodam tradisional untuk menangkap data dari pangkalan data. Tetapi jika ia melibatkan menangkap butiran pengguna kunci yang ditekan pada papan kekunci mereka, ia akan menggoncangkan asas infrastruktur kewangan digital kita ke terasnya.

Sekiranya terdapat satu perkara yang menunjukkan bahawa hack ini, kita hidup dalam dunia digital yang sangat rapuh dan di mana hacks boleh tidak dapat dikesan selama beberapa waktu. Oleh itu, kita perlu membina sistem pemindahan kewangan yang mengintegrasikan penyulitan pada setiap langkah proses.

Artikel ini, yang ditulis oleh Bill Buchanan dari The Cyber ​​Academy, Edinburgh Napier University, pada asalnya diterbitkan pada Perbualan. Baca artikel asal.