澳门银河官网注册

GDPR出手英国航空 因去年数据泄露面临2.3亿美元罚款

澳门银河娱乐开户

英国数据保护监管机构信息专员办公室(ICO)周一(7月8日)宣布,他们已向英国航空公司发出罚款通知,罚款总额为183,390,000英镑(约合2.3亿美元)。英国航空公司(BA)在2018年数据安全事件中泄露了约50万名乘客的私人信息,导致了这一罚款。

RVsmKST7M2pl8M

罚款是在欧盟《通用数据保护条例》(GDPR)的影响下征收的,是欧洲迄今为止记录的最高罚款。在GDPR生效后的前九个月,欧盟征收的罚款总额为55,955,871欧元,其中5000万欧元是法国监管机构谷歌对谷歌征收的单笔罚款。

2019年1月21日,法国数据监管机构CNIL对Google实施了5000万欧元的高额罚款,因为谷歌违反了《通用数据保护条例》(GDPR)的透明度原则,为个性化广告提供了充足的信息和缺乏数据处理。性基础。具体而言,谷歌的违规行为包括两件事:

1)违反透明度原则(GDPR第12条)和提供充分信息的义务(GDPR第13条); Google拥有更多与隐私相关的描述文档,用户被置于更广泛的位置,如广告和地理位置。多次跳转,被识别为不容易访问;

2)个性化广告的处理行为缺乏处理的法律依据,即不符合用户同意的要求(GDPR第6条)。

这是第一个明确的迹象,表明欧洲数据保护监管机构并不害怕使用GDPR为大公司“削减刀具”。世界各地仍然对实施GDPR抱有幻想的组织无需继续观望。 GDPR罚款与公司营业额挂钩,因此大公司不能将数据保护罚款作为其必要运营成本的一部分。

值得注意的是,根据英国特许信息安全专业人员协会首席执行官Amanda Finch的说法,23%的安全专业人士称英国航空公司的数据泄露事件是2018年最严重的。其中一起安全事件仅次于Facebook和Cambridge Analytics数据泄露丑闻。然而,Facebook的剑桥分析公司事件仅被罚款50万英镑(约合人民币430万元),尽管《通用数据保护条例》尚未生效。这笔50万英镑的罚款对这种规模的公司几乎没有影响,但这笔1.38亿英镑的罚款无疑将对英国航空公司的董事会和所有其他公司产生深远的影响。

据报道,英国航空公司于2018年9??6日透露其公司网络遭到破坏,网络犯罪分子可以获得在8月21日至9月5日期间在其网站上预订门票的个人和金融客户。详情。事故的主要原因是英国航空公司“失去安全措施”。在此事件中,犯罪分子使用匿名第三方身份设置钓鱼网站,以接收来自英国航空公司服务器的重定向流量,并使用它来窃取个人数据,包括帐户登录信息,信用卡信息,客户名称,邮政地址,电子邮件地址和行程预订。

调查发现,袭击背后的罪犯是Magecart团队之一。据报道,Magecart是至少七个网络威胁组织的总称。电子商务网站上有很多收集用户信用卡记录的东西,包括Ticketmaster,British Airways和Newegg等数十个电子商务网站。该组织已经垮台,每日受害者仍在增加。

RiskIQ多年来一直在监视Magecart团伙,他评论说,Magecart为英国航空公司网站建立了一个定制的,有针对性的基础设施,以避免被发现。虽然我们可能永远不知道攻击者对英国航空公司服务器的覆盖范围有多大,但他们可以修改网站资源的事实表明他们拥有非常大的访问权限并且可能正在攻击。这种访问行为早在开始之前就已经开始了。这一事件清楚地警告了网络导向资产的脆弱性。

然而,根据ICO的说法,对英国航空公司的袭击应该始于2018年6月,也就是英国航空公司宣布这一事件的3个月。

虽然看起来ICO的罚款非常强,但如果根据GDPR规则完全实施处罚,结果可能会更糟。根据《通用数据保护条例》(GDPR),公司必须在发现数据泄露后的72小时内向相应的欧洲当局报告。该法规还规定,欧盟集团内的本地数据保护机构可以拥有最多的年度数据泄露公司。罚款占总收入的4%。英国航空公司去年的全球营业额约为116.9亿英镑,这意味着拟议的ICO罚款仅占英国航空公司2017年总收入的1.5%左右,远低于最高罚款4%或4.676亿英镑。

因此,罚款可能会给英国航空公司带来一些痛苦,但它不会对它造成伤害,也不会伤害它的根源。国际航空集团(IAG)爱尔兰航空公司,英国航空公司,伊比利亚航空公司,Vueling Aviation公司和LEVEL Aviation公司的母公司也不应受到长期影响,因为罚款仍然只占其总利润的7%。

然而,与罚款相比,数据泄露导致英国航空公司遭受更高的经济损失。 1.38亿英镑是该公司未能妥善保护敏感客户数据免受网络犯罪分子侵害的价格,不包括灾难恢复的实际成本或应对数据泄露。无所事事的成本减去做某事的成本是公司愿意承担的网络风险,因为它没有关注网络安全问题。

ICO在声明中表示,所谓的用户个人数据是关于数据的隐私。当一个组织未能保护它免受损失,损坏或被盗时,对人们来说并不“不方便”。很简单。这就是明确声明保护用户个人数据的原因。当人们将其私人数据委托给一方时,该方有义务确保数据的安全性。不保护用户个人数据的组织将接受英国情报机构的审查,并将发送给我们,以确定他们是否已采取适当措施保护私人数据。

针对这一事件,英国航空公司首席执行官亚历克斯克鲁兹表示,该公司对罚款“感到惊讶和失望”。他在一份声明中表示:英国航空公司迅速应对窃取客户数据的犯罪行为。我们未发现任何与盗窃有关的账户中存在欺诈活动的证据。

目前,ICO已向英国航空公司发出罚款通知,要求其支付这笔巨额罚款,但在ICO确认最终罚款之前,该公司仍有超过20天的时间上诉。但是,由于涉及的犯罪程度和后续欺诈的实际证据与GDPR的要求几乎没有关系,因此可能对英国航空公司的上诉没有任何影响。

事实上,ICO给出的制裁结果似乎非常合适。在此之前,人们一直怀疑欧洲监管机构将在第一次罚款时“尽力而为”,以证明GDPR需要得到认真对待。作为回应,ITC Secure网络咨询总监Malcolm Taylor评论道:

根据专家分析,预计减少罚款的原因可能是英国航空公司选择与ICO合作在事件发生后进行调查,并在事件曝光后提高其安全性。相比之下,ICO对此制裁的解释是,ICO调查发现,由于“安全措施不合适”,所有类型的信息都被破坏了。

ITC Secure网络咨询总监Malcolm Taylor说:

这是商业组织必须面对的新常态,ICO正在执行他们的任务。这里披露的信息非常清楚:这不是“打勾”的问题这是关于企业隐私。您无法启动足够好但缺乏足够隐私或安全性的应用程序。这也不是欺诈的直接风险问题。这是关于持有数据的特权,它不再是英国航空公司而不再是任何人的权力,违反这种行为相当于违反了一类用户。诚信。