British Airways Hack: ecco come le aziende non devono gestire violazioni dei dati

Il caos sembra regnare su British Airways, dove gli hacker hanno rubato i dettagli di circa 380.000 prenotazioni dei clienti. Ci sono state delle scarse risposte agli attacchi informatici sulle principali compagnie in passato, ma le azioni della compagnia aerea, in questo caso, potrebbero essere una delle più deboli della storia recente. Parte di questo può essere dovuto al fatto che le aziende sono ora obbligate dall'UE a segnalare attacchi informatici entro 72 ore e perché le informazioni potrebbero essere ancora trattenute a causa di indagini penali in corso.

Dopo che l'azienda ha riscontrato problemi di alimentazione all'interno dei suoi sistemi IT nel maggio 2018, lei avrebbe pensato che BA avrebbe ora predisposto piani per rispondere agli incidenti informatici in modo più rapido e coerente. Eppure questo ultimo hack sembra mostrare un catalogo di opportunità mancate.

Innanzitutto, l'impatto sembra durare da più di due settimane, influenzando le prenotazioni effettuate tra il 21 agosto e il 5 settembre. Ciò significa che non tutti i clienti di BA sono a rischio - solo quelli che hanno effettuato prenotazioni in quel periodo - non è ancora chiaro esattamente chi è stato influenzato negativamente e se perderà denaro come risultato.

Quando l'hack è stato finalmente scoperto, inizialmente BA non ha fornito informazioni coerenti e valide sufficienti sull'effettiva portata dei dati presi. La principale affermazione della società in merito all'hack ha definito i dati che non sono stati inclusi - passaporto e dettagli di viaggio - ma non ha precisato i dettagli della carta di credito, invece di consigliare ai clienti di contattare le loro banche. Ciò sembra provare a dare una svolta positiva a cattive notizie e significa che il potenziale furto di ciò che i clienti sono più preoccupati - i dettagli delle loro carte - non è stato evidenziato.

Nella sezione delle domande frequenti della pagina web dell'affermazione, si affermava che: "Nomi, indirizzi e tutti i dati della carta di credito erano tutti a rischio." Ma questo non forniva i dettagli reali dell'hack, come se il CVV (valore di verifica della carta) i codici di sicurezza trovati sul retro delle carte sono stati rivelati, anche se BA in seguito ha fornito queste informazioni ai media. Per non rivelare se i dettagli bancari sono stati crittografati o no, lascia ancora troppe domande a cui rispondere.

Per sicurezza, BA consiglia a tutti i clienti interessati di cancellare le loro carte. Questo inizialmente ha portato a linee telefoniche bancarie intasate a causa del numero di clienti interessati. Sfortunatamente, al momento, non è chiaro esattamente chi sia stato effettivamente influenzato negativamente. Diversi clienti hanno già segnalato frodi sulle loro carte.

La natura istintiva della reazione è probabilmente dovuta al nuovo regolamento generale sulla protezione dei dati (GDPR) dell'UE secondo cui le violazioni dei dati di questo tipo devono essere segnalate entro 72 ore dalla scoperta.

Il CEO di BA, Alex Cruz, ha detto alla BBC che la società ha scoperto l'hack mercoledì sera e ha contattato tutti i clienti interessati entro giovedì sera. "La prima cosa era scoprire se fosse qualcosa di serio e chi ne fosse affetto o meno. Nel momento in cui i dati effettivi dei clienti sono stati compromessi, è stato allora che abbiamo iniziato a comunicare immediatamente con i nostri clienti ", ha affermato.

Ha aggiunto: "Ci impegniamo a collaborare con qualsiasi cliente che possa essere stato colpito finanziariamente da questo attacco, e li compenseremo per qualsiasi difficoltà finanziaria che potrebbero aver subito".

Dovremmo essere grati che, grazie a GDPR, l'incidente sia stato reso pubblico quanto prima. L'agenzia di reporting del credito Equifax ha impiegato tre mesi per segnalare la sua violazione dei dati nel 2017, durante la quale i dirigenti hanno venduto azioni della società, anche se un'indagine interna li ha liquidati di qualsiasi insider o trading inappropriato, dicendo che non erano a conoscenza dell'incidente quando hanno fatto il compravendite.

Dido Harding, CEO della compagnia di telecomunicazioni TalkTalk, ha fornito uno dei migliori esempi di come non rispondere a una violazione dei dati. Dopo che la società è stata compromessa nel 2015, Harding è apparso in TV suggerendo ai clienti di fidarsi delle e-mail dagli indirizzi TalkTalk e che contenevano collegamenti attraverso il sito Web TalkTalk. Queste sono ora intese come tecniche standard utilizzate dai truffatori per convincere i clienti che le loro e-mail sono autentiche.

Impatto a lungo termine della violazione dei dati

La multa massima per una violazione dei dati aziendali secondo GDPR è il 4% del fatturato mondiale. Nel 2017, il fatturato di BA è stato di oltre 12 miliardi di sterline, quindi se la società è stata colpita con una tale multa potrebbe superare i 480 milioni di sterline, sebbene l'UE non abbia ancora indicato se l'hack potrebbe portare a una sanzione. BA ha già offerto un risarcimento ai clienti colpiti dall'incidente, che potrebbero raggiungere importi significativi, in particolare dal momento che molti clienti a cui BA non ha segnalato l'incidente non hanno comunicato se i dati della carta erano stati effettivamente rubati.

Come in altri esempi di violazioni dei dati commerciali, la segnalazione iniziale ha colpito il prezzo delle azioni della società. Il valore di mercato del gruppo controllante di BA - International Consolidated Airlines Group - è stato inizialmente ammorbidito del 3,8%. Ma è probabilmente l'effetto sulla fiducia dei clienti che avrà il maggior danno.

Al momento, sono stati rilasciati pochi dettagli sul metodo dell'hack. Quindi potrebbe comportare metodi di hacking tradizionali per acquisire dati da un database. Ma se si trattava di catturare i dettagli di quali tasti gli utenti premevano sulla tastiera, avrebbe scosso le fondamenta della nostra infrastruttura finanziaria digitale fino al suo nucleo.

Se c'è una cosa che mostra questo hack, è che viviamo in un mondo digitale estremamente fragile e dove gli hack possono passare inosservati per qualche tempo. Quindi abbiamo bisogno di costruire sistemi di trasferimento finanziario che integrino la crittografia in ogni singola fase del processo.

Questo articolo, scritto da Bill Buchanan di The Cyber ​​Academy, Edinburgh Napier University, è stato originariamente pubblicato su The Conversation. Leggi l'articolo originale.