Emilian Kujawski Brak komentarzy

Wpadki RODO nie omijają gigantów. Brak szczelności w zabezpieczeniach IT spowodował wyciek danych ponad 400 000 klientów przewoźnika. Biuro Komisarza ds. Informacji (ICO) – brytyjski odpowiednik PUODO – nałożyło na firmę rekordową w swojej historii karę 20 milionów funtów.

Jak to się mogło stać?

Dokładnie 22 czerwca 2018 r. jedna lub więcej nieustalonych do dziś osób weszła w posiadanie danych autoryzacyjnych do CAG. Narzędzie CAG to aplikacja zdalnego dostępu do wewnętrznych systemów informatycznych British Airways (BA). Atakujący przejęli dane logowania pracownika podwykonawcy – firmy Swissport, wykonującej dla BA usługi transportowe (cargo). Zatem zawiniło najsłabsze ogniwo każdego systemu bezpieczeństwa danych – człowiek. Niestety, swoje dołożył też niski poziom zabezpieczeń technicznych, np. brak dwuskładnikowego uwierzytelniania. Na jaw wyszło też, że British Airways niezbyt przesadnie podchodziło do weryfikacji ruchu w swoich sieciach IT. ICO napiętnowało w swoim raporcie fakt, że zorientowanie się o wycieku danych zajęło brytyjskiej linii ponad dwa miesiące.  

Co się stało?

Za pomocą przechwyconego loginu i hasła od 22 czerwca do 5 wrzesnia 2018 r. hakerzy mieli wgląd do wielu systemów IT linii lotniczej. Atakujący nie próżnowali. Z tej części sieci BA, do której uprawnieni byli pracownicy Swissport, hakerzy przełamali się dalej. Było to o tyle łatwe, że kluczowe dane logowania do kont administracyjnych były przechowywyane na serwerach w postaci niezaszyfrowanego tekstu. Dzięki temu atakujący mogli między innymi spowodować przekierowanie z oficjalnej strony internetowej linii lotniczej na stworzoną przez siebie stronę udającą serwis płatności i przechwytywanie danych klientów. Ostatecznie ustalono, że w ręce hakerów wpadły dane dokładnie 429 612 klientów British Airways, w tym: nazwiska, adresy, numery kart płatniczych i numery CVV (!). Co więcej, wyciekły także nazwy użytkowników i haseł do profili internetowych 612 członków programu British Airways Executive Club.

Kara, choć rekordowa, to łagodna

W roku 2019 ICO zapowiedziało nałożenie na British Airways gigantycznej kary w wysokości 183 mln funtów. Ostatecznie, w decyzji wydanej 16 października 2020 r. stanęło na „tylko” 20 mln funtów (ok. 101 mln złotych). W oświadczeniu organu kontrolnego zaznaczono, że kwota kary została znacznie zredukowana po uwzględnieniu kryzysu finansowego, jaki dotknął przewoźnika po wybuchu pandemii COVID-19.

Jakie wnioski na przyszłość?

Każdy administrator danych i jego służby IT mogą i powinni nauczyć się na błędzie Bristish Airways kilku rzeczy:

  • ograniczyć dostęp użytkownika sieci / systemu tylko do aplikacji i narzędzi niezbędnych do realizacji jego zadań;
  • regularnie testować odporność sieci / systemu na cyberataki;
  • monitorować ruch sieciowy pod kątem niestandardowych przepływów danych, wzmożonego ruchu;
  • wdrażać logowanie za pomocą dwóch lub więcej czynników (np. hasło + kod przesyłany na telefon), zwłaszcza w odniesieniu do użytkowników tzw. trzeciej strony;
  • szkolić, szkolić i jeszcze raz szkolić personel z zasad bezpieczeństwa.

Natomiast, jeśli już incydent się wydarzy, na pewno pomocą będzie profesjonalny inspektor ochrony danych. A takich w GMA nie brakuje.

Autor: Emilian Kujawski