Форма заказа консультации по защите персональных данных согласно Регламенту GDPR
telegram icon Связаться с нами
user icon
mail icon
Контактные данные
phone icon
  • Telegram
  • WhatsApp

comment icon
Отсканируйте QR-код
для быстрой связи в Telegram
IncFine QR code

Регулирующий орган Великобритании по защите данных, Управление по информации (ICO), наложил денежный штраф за несоблюдение требований Регламента GDPR (20 млн GBP) на British Airways (BA) в связи с кибератакой, произошедшей в 2018 году. По мнению ICO, произошла ошибка в обработке персональных данных, которые обеспечивали надлежащую безопасность, как того требует GDPR.

Общий регламент по защите данных (GDPR) был введен в мае 2018 года и соблюдение правил GDPR в Великобритании распространяется на все компании. 

Соблюдение новых правил обработки персональных данных

Инцидент начался с «атаки цепочки поставок», когда злоумышленник получил доступ к сети BA. После успешного перемещения в сети British Airways и получения административных привилегий злоумышленник изменил веб-формы, чтобы перенаправить данные платежных карт клиентов на веб-сайт, принадлежащий злоумышленнику и контролируемый им. В ходе инцидента он получил доступ к персональным данным более 400 000 клиентов.

Комментарии ICO в уведомлении о денежном штрафе дают представление о мерах обеспечения информационной безопасности британской компании, ожидаемых в отношении ряда проблем, таких как аутентификация удаленного доступа, управление привилегиями, ведение журнала и мониторинг, а также сканирование уязвимостей/тестирование на проникновение.

Оценка нарушения Управлением по информации

Кибератака произошла в период с июня по сентябрь 2018 года. В нынешней удаленной рабочей среде комментарии ICO относительно удаленного доступа и мер защиты персональных данных в Великобритании особенно актуальны для организаций.

Изначально злоумышленник получил доступ к внутренним системам British Airways с помощью скомпрометированных учетных данных удаленного доступа, используемых сторонним поставщиком BA, которые не подвергались многофакторной аутентификации. Оказавшись внутри сети, злоумышленник смог получить более высокие уровни доступа и контроля, чтобы извлечь личные данные отдельных клиентов и, в конечном итоге, перенаправить их на другой веб-сайт для получения данных о платежах клиентов на постоянной основе в течение нескольких недель.

Третья сторона сообщила British Airways, что данные перенаправляются, и в течение 2 часов после того, как стало известно, BA обнаружил уязвимость и заблокировал URL-адрес вредоносного сайта. Однако, несмотря на принятые меры, ICO пришло к выводу, что BA не смогла принять соответствующие технические и организационные меры для обеспечения надлежащей безопасности данных клиентов в Великобритании. В частности, было выделено следующее:

  1. Атака на первичный доступ/цепочку поставок. Хотя установка стандартов безопасности для сторонних поставщиков заслуживает одобрения, с точки зрения ICO, они должны быть подкреплены соответствующими техническими мерами (удаленного доступа либо многофакторной аутентификацией, либо подходящей альтернативой, например, внесение в белый список внешних общедоступных IP-адресов или IPSec VPN).
  2. Взлом сети удаленного доступа. По мнению Регулятора, должна была проводиться актуальная оценка рисков сети удаленного доступа при обеспечении информационной безопасности. ICO заявило, что такие шаги, как белый список приложений (например, только определенные программы или приложения могут запускаться лицами с доступом по определенному маршруту), черные списки (например, блокирование определенных приложений) и усиление защиты приложения/сервера (например, снижение уязвимостей путем удаления доступа к функциям), было бы целесообразно принять. 
  3. Предотвращение, ограничение и обнаружение бокового движения. ICO заявило, что соблюдение требований Регламента GDPR подразумевает принятие соответствующих шагов для снижения риска того, что, оказавшись внутри сети, злоумышленник может получить дополнительный доступ к ценным данным и системам, включая хранение привилегированных учетных данных администратора в незашифрованных текстовых файлах. Управление по информации несколько раз подчеркивало важность принципа «наименьших привилегий», и что учетные записи системного администратора должны быть включены в случае необходимости, в каждом конкретном случае. Что касается мер обнаружения, с точки зрения ICO, ключевой мерой был бы мониторинг использования учетных записей администратора для необычной активности.
  4. Хранение данных держателя карты не является обязательным. Злоумышленник смог получить доступ к файлам журналов в виде простого текста, который содержал данные платежной карты. Ведение журнала и хранение данных карты (включая номера CVV) не входило в проектную функцию и не требовалось для бизнес-целей. По мнению ICO, внедрение стандартного отраслевого обзора кода вручную могло бы предотвратить эту ошибку, а в свете Стандарта безопасности данных индустрии платежных карт (PCI DSS) номера CVV вообще не должны регистрироваться.
  5. Защита кода сайта. Несмотря на наличие средств управления изменениями кода веб-сайта, Регулятор пришел к выводу, что для того чтобы обеспечить защиту персональных данных в Великобритании меры по обнаружению несанкционированных изменений в коде недостаточны. Они должны включать мониторинг целостности файлов, который позволяет системе обнаруживать и предупреждать организацию об изменениях, вносимых в ее код.

Комментарии ICO содержат указание, в котором делается акцент на соблюдение мер информационной безопасности в Великобритании, направленных на защиту от подобных атак. В частности, ожидание того, что для удаленного доступа будет использоваться многофакторная аутентификация. В дальнейшем проверка по соблюдению требований GDPR будет проводиться как в отношении мелких, так и крупных предприятий.

О штрафных санкциях

В июне 2019 года Регулятор выпустил уведомлением о намерении наложить денежный штраф за несоблюдение требований GDPR. Он был уместным, поскольку это было серьезным нарушением, большое количество людей было затронуто и им был нанесен определенный ущерб. Ключевой фактор при определении начального уровня штрафа включали тот факт, что уведомление о проблеме пришло в British Airways от третьей стороны. На ICO не повлияли аргументы, что безопасность BA в целом была надежной или злоумышленник был особенно изощренным. 

Следуя заявлениям и дополнительной информации от British Airways, Управление по информации указало, что штраф с 30 млн GBP был уменьшен на 20% до 24 млн GBP из-за смягчающих факторов, таких как немедленные действия, предпринятые BA для минимизации ущерба, понесенного субъектами данных. Денежный штраф был дополнительно снижен на 4 млн GBP до 20 млн GBP из-за воздействия пандемии COVID-19 на BA и в целом. Несмотря на эти сокращения, это по-прежнему самый высокий денежный штраф, примененный ICO на сегодняшний день.

В заключение

Если вы хотите зарегистрировать компанию в Великобритании, обратите внимание, что во избежание ошибок в отношении данных клиентов первоначально стоит заказать консультацию по соблюдению правил GDPR у профильных специалистов.

Соблюдение правил GDPR в Британии является одним из обязательных требований в деятельности любой компании. Связавшись с экспертами IncFine, вы можете заказать консультацию о защите персональных данных в странах Европы.