La Oficina del Comisionado de Información emite su mayor sanción financiera hasta la fecha, y podría haber sido aún mayor si no fuera por el coronavirus.
British Airways ha sido multada con 20 millones por fallas “inaceptables” que llevaron a que hackers roben los datos personales de cientos de miles de datos de clientes en 2018.
La multa representa la sanción financiera más grande emitida por la Oficina del Comisionado de Información (ICO) del Reino Unido hasta la fecha y se basa en la regulación de protección de datos GDPR.
El incidente comenzó en el verano de 2018 y la aerolínea no lo detectó durante más de dos meses, antes de ser finalmente revelado públicamente en septiembre de 2018.
Más de 400.00 clientes de British Airways que utilizaron el sitio web durante el verano de 2018 fueron redirigidos a un sitio web fraudulento administrado por ciberdelincuentes que recopilaron datos personales, incluido nombres, direcciones e información de tarjetas de pago.
La investigación de la ICO concluyó que British Airways debería haber podido identificar las debilidades de ciberseguridad y resolverlas con las medidas de seguridad disponibles en ese momento.
“Las personas confiaron sus datos personales a la aerolínea y no tomaron las medidas adecuadas para mantenerlos seguros”, dijo la comisionada de la información Elizabeth Dengam. “Su falta de acción fue inaceptable y afectó a cientos de miles de personas, lo que puede haber causado algo de ansiedad y angustia como resultado. Es por eso que otorgamos a BA una multa de 20 millones de libras, la mayor hasta la fecha”
La investigación de la ICO concluyó que había numerosas medidas que British Airways podría haber tomado para mitigar el ataque que no se estaban utilizando.
Estos incluyen limitar el acceso a las aplicaciones solo a aquellas necesarias para cumplir el rol de un usuario, realizar pruebas rigurosas de ciberseguridad y proteger las cuentas con autenticación multifactor.
La ICO señala que ninguna de estas medidas habría requerido “costos excesivos o barreras técnicas” y que algunas de estas medidas de seguridad no implementadas estaban disponibles pero no se usaron.
No está claro si British Airways habría identificado el ataque ellos mismos, ya que solo un tercero alertó sobre el incidente. La ICO considera que esto es una “falla grave” debido a la cantidad de personas cuyos datos se vieron comprometidos por el ataque.
Sin embargo, en los años transcurridos desde el ataque, la ICO señala que British Airways ha realizado mejoras “considerables” en los procedimientos de seguridad de la información.
La Ico emitió inicialmente BA con un aviso de intención de multar en junio del año pasado y ha llegado a la cifra final de £20 millones según los procesos regulatorios, y el impacto que COVID-19 ha tenido en el negocio.
“Cuando las organizaciones toman malas decisiones sobre los datos personales de las personas, eso puede tener un impacto real en la vida de las personas. La ley ahora nos brinda las herramientas para alentar a las empresas a tomar mejores decisiones sobre los datos incluida la inversión en seguridad actualizada”, dijo Denham.
Para evitar que incidentes como este puedan suceder en nuestras organizaciones es importante que consideremos a la ciberseguridad como un eje estratégico para el negocio.
Estamos a tu disposición para asesorarte y acompañarte en la construcción de una estrategia eficiente de ciberseguridad, puedes contactarnos aquí y visitar nuestro sitio web para conocer todas nuestras soluciones en https://www.inforc.lat/portafolio