British Airways Hack: Dette er hvordan selskaper ikke bør håndtere data brudd

Chaos ser ut til å herske på British Airways, hvor hackere stjal detaljene på rundt 380 000 kundebestillinger. Det har vært noen dårlige svar på cyberangrep på store selskaper i fortiden, men flyselskapets handlinger, i dette tilfellet, kan være en av de svakeste i nyere historie. En del av dette kan skyldes at bedrifter nå er pålagt av EU å rapportere cyberangrep innen 72 timer, og fordi informasjonen fortsatt kan holdes tilbake på grunn av pågående kriminalundersøkelse.

Etter at selskapet opplevde kraftproblemer innen IT-systemene i mai 2018, ville du tro at BA nå ville ha planer for å reagere raskere og sammenhengende på datautstyr. Likevel synes dette siste hack å vise en katalog med ubesvarte muligheter.

For det første ser hacken ut til å ha vart i mer enn to uker, noe som påvirker bestillinger som er gjort mellom 21. august og 5. september. Selv om dette betyr at ikke alle BA-kunder er i fare - bare de som har gjort bestillinger i løpet av den perioden - det er heller ikke klart akkurat som har blitt negativt påvirket og om de vil tape penger som et resultat.

Da hacken endelig ble oppdaget, ga BA ikke i utgangspunktet nok sammenhengende og robust informasjon om det faktiske omfanget av dataene som ble tatt. Selskapets hovederklæring om hacken definerte dataene som ikke var inkludert - pass og reisedetaljer - men stavet ikke ut at bankkortopplysningene var involvert, i stedet at kundene skulle kontakte sine banker. Dette ser ut til å forsøke å gi et positivt spinn på svært dårlige nyheter, og betyr at potensiell tyveri av hvilke kunder som er mest bekymret - deres kortdetaljer - ikke ble fremhevet.

I det vanlige spørsmålet på uttalelsens nettside ble det oppgitt at: "Navn, adresser og alle bankkortdetaljer var alle i fare." Men dette ga ikke de faktiske detaljer om hack, som om CVV (kortverifikasjonsverdi) sikkerhetskoder funnet på baksiden av kortene ble avslørt, selv om BA senere ga denne informasjonen til media. For ikke å avdekke om bankdetaljer var kryptert eller ikke, er det for mange spørsmål som fortsatt skal besvares.

For å være på den sikre siden, anbefaler BA alle berørte kunder å avbryte sine kort. Dette medførte i første omgang tette banktelefonlinjer på grunn av det store antallet berørte kunder. Dessverre er det for øyeblikket ikke klart nøyaktig hvem som faktisk har blitt negativt påvirket. Flere kunder har allerede rapportert svindel på kortene sine.

Reaksjonens knekkeaktivitet skyldtes sannsynligvis EUs nye generelle databeskyttelsesregulering (GDPR) som sier at databrudd av denne typen må rapporteres innen 72 timer etter oppdagelsen.

BAs administrerende direktør, Alex Cruz, fortalte BBC at selskapet oppdaget hack onsdag kveld og hadde kontaktet alle berørte kunder innen torsdag kveld. "Det første var å finne ut om det var noe seriøst og hvem det påvirket eller ikke. Øyeblikket da faktiske kundedata var blitt kompromittert, da begynte vi umiddelbar kommunikasjon til våre kunder, sa han.

Han la til: "Vi er forpliktet til å jobbe med noen kunder som kan ha blitt økonomisk rammet av dette angrepet, og vi vil kompensere dem for eventuelle økonomiske problemer de har lidd."

Vi burde være takknemlige for at hendelsen i hvert fall ble offentliggjort raskt, takket være GDPR. Kredittrapporteringsbyrå Equifax tok tre måneder til å rapportere datatbrudd i 2017, i løpet av hvilken tid ledere solgte aksjer i selskapet, selv om en intern undersøkelse fjernet dem fra insider eller upassende handel, og sa at de ikke hadde vært uvitende om hendelsen da de gjorde det handler.

Dido Harding, konsernsjef for teleselskapet TalkTalk, ga et av de beste eksemplene på hvordan ikke å svare på et brudd på data. Etter at selskapet ble hacket i 2015, oppstod Harding på TV som tyder på at kundene skulle stole på e-post fra TalkTalk-adresser, og som inneholdt koblinger til TalkTalk-nettsiden. Disse er nå forstått som standard teknikker som brukes av svindlere for å overbevise kundene om at deres e-poster er ekte.

Langsiktig innvirkning på datautbrudd

Maksimumsbeløpet for et selskaps data brudd under GDPR er 4 prosent av verdensomspennende omsetning. I 2017 var BAs omsetning over 12 milliarder kroner, så hvis selskapet ble rammet med en slik bot, kunne det være over £ 480 millioner, selv om EU ennå ikke har gitt noen indikasjon på om hack kan føre til bøter. BA har allerede tilbudt kompensasjon for kunder som er berørt av hendelsen, noe som kan komme til betydelige beløp, spesielt så mange kunder som BA varslet om hendelsen, ble ikke fortalt om deres kortdetaljer faktisk hadde blitt stjålet.

Som i andre eksempler på kommersielle data brudd, har den innledende rapporteringen truffet selskapets aksjekurs. Markedsverdien til BAs overordnede gruppe - International Consolidated Airlines Group - ble opprinnelig dunket med 3,8 prosent. Men det er muligens effekten på kundetillit som vil ha mest skade.

For tiden har få detaljer blitt utgitt rundt hackens metode. Så det kan innebære tradisjonelle hacking metoder for å fange data fra en database. Men hvis det var med å fange opp detaljer om hvilke tastene brukerne trykket på tastaturet, ville det skape grunnlaget for vår digitale finansielle infrastruktur til kjerne.

Hvis det er en ting som denne hacken viser, er det at vi lever i en ekstremt skjør digital verden, og hvor hack kan gå uoppdaget i noen tid. Så vi må bygge finansielle overføringssystemer som integrerer kryptering på hvert eneste trinn i prosessen.

Denne artikkelen, skrevet av Bill Buchanan fra The Cyber ​​Academy, Edinburgh Napier University, ble opprinnelig publisert på The Conversation. Les den opprinnelige artikkelen.