British Airways Hack: és així com les empreses no haurien de gestionar les infraccions de dades

Chaos sembla regnar a British Airways, on els pirates informàtics van robar els detalls de prop de 380.000 reserves de clients. Hi ha hagut algunes respostes pobres als atacs cibernètics a les grans empreses en el passat, però les accions de la companyia aèria, en aquest cas, podrien ser una de les més febles de la història recent. Una part d’aquest fet pot ser degut a que ara la UE demana a les empreses que informin d’atacs cibernètics en un termini de 72 hores, i perquè la informació encara es pot mantenir a causa d’una investigació criminal en curs.

Després que l’empresa tingués problemes de potència en els seus sistemes informàtics el maig del 2018, pensaria que BA tindria plans per respondre a incidents d’ordinador de forma més ràpida i coherent. Tanmateix, aquest últim hack sembla mostrar un catàleg d’oportunitats perdudes.

En primer lloc, el hack sembla que va durar més de dues setmanes i va afectar les reserves realitzades entre el 21 d’agost i el 5 de setembre. Tot i que això significa que no tots els clients de BA estan en risc, només els que van fer reserves durant aquest període: encara no està clar exactament qui ha estat afectat negativament i si perdrà diners com a resultat.

Quan finalment es va descobrir el hack, BA inicialment no va proporcionar suficient informació coherent i robusta sobre l’abast real de les dades preses. La declaració principal de l’empresa sobre el hack va definir les dades que no s’incloïen: els detalls del passaport i els viatges, però no van explicar que hi havia dades de la targeta bancària, sinó que assessoraven els clients en contactar amb els seus bancs. Això sembla tractar de donar un gir positiu a molt bones notícies, i significa que el robatori potencial del que els clients estan més preocupats (les seves dades de la targeta) no es va destacar.

A la secció de preguntes freqüents de la pàgina web de la declaració, va afirmar que: "Els noms, les adreces i tots els detalls de la targeta bancària estaven en perill". Però això no va donar els detalls reals del hack, com si el CVV Es van revelar els codis de seguretat (valor de targeta) que es troben a la part posterior de les targetes, encara que BA més tard va proporcionar aquesta informació als mitjans de comunicació. Per no revelar si les dades bancàries estaven encriptades o no, encara queden moltes preguntes per respondre.

Per estar segur, BA assessora a tots els clients afectats a cancel·lar les seves targetes. Això va provocar inicialment línies telefòniques obstruïdes a causa de la gran quantitat de clients afectats. Malauradament, actualment no està clar exactament qui ha estat afectat negativament. Diversos clients ja han denunciat fraus a les seves targetes.

La naturalesa de la reacció del genoll probablement es degué a la nova normativa general de protecció de dades (GDPR) de la UE que diu que aquestes infraccions de dades s'han de comunicar dins de les 72 hores posteriors al descobriment.

El director general de BA, Alex Cruz, va dir a la BBC que la companyia va descobrir el tall de dimecres a la tarda i que es va posar en contacte amb tots els clients afectats el dijous a la nit. “El primer era saber si era alguna cosa greu i qui afectava o no. El moment en què les dades reals dels clients estaven compromeses, és a dir, quan vam començar la comunicació immediata amb els nostres clients ", va dir.

Va afegir: "Estem compromesos a treballar amb qualsevol client que pugui haver estat afectat econòmicament per aquest atac, i els compensarem per qualsevol dificultat financera que hagin patit".

Hem d’agrair que, gràcies a GDPR, l’incident s’hagi fet públic almenys ràpidament. L’agència d’informació de crèdit Equifax va trigar tres mesos a informar de l’incompliment de les seves dades el 2017, temps durant el qual els executius van vendre accions a la companyia, tot i que una investigació interna els va aclarir qualsevol informació privilegiada o un comerç inadequat. comerços.

Dido Harding, el director general de la firma de telecomunicacions TalkTalk, ha proporcionat un dels millors exemples de com no respondre a una infracció de dades. Després de piratejar la companyia el 2015, Harding va aparèixer a la televisió suggerint que els clients haurien de confiar en els correus electrònics de les adreces de TalkTalk i que contenien enllaços a través del lloc web de TalkTalk. Ara s’entén que són tècniques estàndard que els estafadors usen per convèncer els clients que els seus correus electrònics són genuïns.

Impacte a llarg termini de la violació de dades

La multa màxima per a una violació de dades d’empresa segons GDPR és el 4 per cent de la facturació mundial. El 2017, la facturació de BA va superar els 12.000 milions de lliures esterlines, de manera que si la companyia va arribar a assolir aquesta multa podria superar els 480 milions de lliures esterlines, tot i que la UE encara no ha indicat si el hack podria suposar una multa. BA ja ha ofert una compensació per als clients afectats per l’incident, que poden arribar a arribar a quantitats significatives, especialment ja que molts clients que BA van informar de l’incident no van dir si les dades de la seva targeta realment havien estat robades.

Com en altres exemples d’infraccions de dades comercials, l’informe inicial ha afectat el preu de l’acció de la companyia. El valor de mercat del grup matriu de BA - International Consolidated Airlines Group - es va deteriorar inicialment en un 3,8 per cent. Però és, possiblement, l’efecte en la confiança dels clients que tindrà més danys.

Actualment, s'han publicat alguns detalls sobre el mètode del hack. Per tant, pot implicar mètodes tradicionals de hacking per capturar dades d’una base de dades. Però si es tractava de capturar detalls de quines tecles usaven els usuaris del teclat, la base de la nostra infraestructura financera digital seria fonamental.

Si hi ha una cosa que mostra aquest hack, és que vivim en un món digital extremadament fràgil i on els pirates informàtics no es detecten des de fa temps. Per tant, necessitem construir sistemes de transferència financera que integren el xifratge en cada pas del procés.

Aquest article, escrit per Bill Buchanan de The Cyber ​​Academy, Universitat d'Edimburg Napier, es va publicar originalment a The Conversation. Llegiu l'article original.