Rafał Kosuń

Rafał Kosuń

Inspektor Ochrony Danych, specjalista ds. bezpieczeństwa, audytor wiodący ISO, analityk biznesowy, członek Stowarzyszenia Praktyków Ochrony Danych, fan firmy DataLex

Największa kara RODO dla British Airways – „zimne” procedury bezpieczeństwa?

Strona Brytyjskich Linii Lotniczych ba.com została zmodyfikowana przez włamywaczy, którzy
najprawdopodobniej mieli do niej dostęp długo przed atakiem. Nieautoryzowany dostęp to zawsze
ogromne zagrożenie dla bezpieczeństwa danych co skutkować może wieloma konsekwencjami, z bankructwem zaatakowanej firmy włącznie! 

Włamywacze umieścili skrypt wykradający dane użytkowników z formularza służącego do realizacji płatności. Skrypt ten to stosunkowo znany tzw. skimmer internetowy czyli fragment kodu wykradającego dane.

Magecart script
Zdjęcie pochodzi z serwisu RiskIQ. Opisano tam też szczegóły ataku.

Złośliwy skrypt wykradał dane kart płatniczych oraz informacje o osobach dokonujących płatności i wysyłał te dane na serwer baways.com, który hostowany był na jednym z serwerów w Rumunii, który jest częścią dostawcy Time4VPS z siedziba na Litwie. Atak rozpoczął się dokładnie 21 sierpnia 2018 o 22:58 brytyjskiego czasu letniego i trwał 15 dni kończąc się 5 września 2018 o 21:45 BST.

W czasie tych 15 dni wykradziono dane 500 tysięcy klientów British Airways z całego świata.

Od czasu ujawnienia informacji o wycieku, brytyjski organ nadzorczy ICO utrzymywał, że planuje ukarać firmę kwotą 183 mln funtów. Ostatecznie zapowiedź organu została dokonana i zobowiązanie zapłaty w pełnej wysokości, tj. 204 mln € czyli 867 mln zł trafiło do firmy.

British Airways będzie korzystał ze wszystkich możliwości uniknięcia kary, włącznie z odwołaniem się od decyzji organu do sądu.

Subiektywny komentarz DataLex

Przed czasami RODO informacje o atakach na firmy i wyciekach danych osobowych nie docierały do nas tak często i szczegółowo. Dzisiaj, w czasach obowiązywania RODO większość poważnych wycieków wypływa na światło dzienne, dzięki czemu każdy z nas możne zapoznać się ze szczegółami tych ataków i WYCIĄGAĆ z nich wnioski!

A wnioski są takie, że niedomknięte okna i drzwi to zaproszenie dla złodziei, z tą jednak różnicą, że kradzież sprzętu w swych konsekwencjach jest niczym w porównaniu z kradzieżą danych. Brak dobrych procedur lub ich nieprzestrzeganie, brak świadomości o zagrożeniach oraz sposobach, którymi możemy je na siebie ściągnąć, brak szkoleń i aktywnego podejścia do bezpieczeństwa danych naszych i naszych klientów prędzej czy później NA PEWNO skutkować będzie mniejszą lub większą katastrofą. Nie ma innego wyjścia i nie powinniśmy łudzić się, że nas to nie dotyczy. Dotyczy bez wyjątku każdego z nas, każdą firmę i instytucję.

Dzisiaj rynek cyberprzestępczy to ogromne farmy silnie dofinansowanych firm, zatrudniających najwyższej klasy specjalistów pracujących w trybie full time job, budujących skuteczne metody ataków, poszukujących metod obejścia zabezpieczeń, programujących specjalistyczne oprogramowanie. Specjalistów od socjotechnik na które podatni jesteśmy wszyscy, bez wyjątku! 

Nie wierzysz?

Firmom tym przeciwstawiamy całą branżę cyberbezpieczeństwa i jest to niekończąca się, często nierówna walka, w której przewagę zwykle mają niestety cyberprzestępcy – stopa zwrotu z inwestycji w nielegalne działania jest bardzo wysoka, nawet uwzględniając ryzyko i koszty związane z łamaniem prawa. 

Pamiętajmy! Ogniwem systemu bezpieczeństwa jest każdy z nas!

DataLex - mamy papiery na etycznych hakerów!

british_airways

Skontaktuj się z nami

Podane przez Ciebie dane osobowe wykorzystamy wyłącznie do udzielenia odpowiedzi na Twoje pytania. Poniżej znajdziesz szczegóły na temat przetwarzania przez nas Twoich danych osobowych.
  • Administratorem Twoich danych osobowych jest firma DataLex Rafał Kosuń z siedzibą w 32-566 Brodła, ul. Środkowa 4, NIP: 9542243117.
  • Twoje dane osobowe wysłane za pomocą powyższego formularza przetwarzać będziemy w celu prowadzenia z Tobą korespondencji, odpowiedzi na ewentualne pytania oraz wykonania wyraźnych próśb zawartych przez Ciebie w wiadomościach.
  • Cel wynika z prawnie uzasadnionych interesów Administratora na podstawie art. 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  • Twoje dane udostępniać będziemy podmiotom uprawnionym do dostępu do danych osobowych na podstawie przepisów prawa oraz powierzać wyłącznie podmiotom świadczącym na naszą rzecz usługi wsparcia, w tym w szczególności dostawcom usług IT i innym firmom usługowym tylko na podstawie zawartych umów i na wyraźne polecenie i w imieniu Administratora.  
  • Twoje dane osobowe przetwarzać będziemy, dopóki istnieć będzie potrzeba kontaktu, jak również w celu archiwizacji korespondencji do czasu istnienia tej potrzeby po naszej stronie, nie dłużej niż 5 lat z upływem na koniec roku kalendarzowego w którym wypada usunięcie danych lub też do czasu realizacji wniesionego przez Ciebie sprzeciwu lub żądania usunięcia danych.
  • Masz prawo żądania dostępu do treści swoich danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu w stosunku do danych osobowych, których podanie jest dobrowolne. Przykładamy ogromną wagę do bezpieczeństwa Twoich danych, jeśli jednak uznasz, że przetwarzając dane naruszamy przepisy, masz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
  • Jeżeli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych osobowych, w tym praw jakie Ci w związku z tym przysługują, możesz się z nami skontaktować pisząc na adres: rodo@datalex.pl lub telefonicznie: +48663307507.
  • Administratorem Twoich danych osobowych jest firma DataLex Rafał Kosuń z siedzibą w 32-566 Brodła, ul. Środkowa 4, NIP: 9542243117.
  • Twoje dane osobowe wysłane za pomocą powyższego formularza przetwarzać będziemy w celu prowadzenia z Tobą korespondencji, odpowiedzi na ewentualne pytania oraz wykonania wyraźnych próśb zawartych przez Ciebie w wiadomościach.
  • Cel wynika z prawnie uzasadnionych interesów Administratora na podstawie art. 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  • Twoje dane udostępniać będziemy podmiotom uprawnionym do dostępu do danych osobowych na podstawie przepisów prawa oraz powierzać wyłącznie podmiotom świadczącym na naszą rzecz usługi wsparcia, w tym w szczególności dostawcom usług IT i innym firmom usługowym tylko na podstawie zawartych umów i na wyraźne polecenie i w imieniu Administratora.  
  • Twoje dane osobowe przetwarzać będziemy, dopóki istnieć będzie potrzeba kontaktu, jak również w celu archiwizacji korespondencji do czasu istnienia tej potrzeby po naszej stronie, nie dłużej niż 5 lat z upływem na koniec roku kalendarzowego w którym wypada usunięcie danych lub też do czasu realizacji wniesionego przez Ciebie sprzeciwu lub żądania usunięcia danych.
  • Masz prawo żądania dostępu do treści swoich danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu w stosunku do danych osobowych, których podanie jest dobrowolne. Przykładamy ogromną wagę do bezpieczeństwa Twoich danych, jeśli jednak uznasz, że przetwarzając dane naruszamy przepisy, masz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
  • Jeżeli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych osobowych, w tym praw jakie Ci w związku z tym przysługują, możesz się z nami skontaktować pisząc na adres: rodo@datalex.pl lub telefonicznie: +48663307507.

Przeczytaj inne nasze artykuły