Британське управління інформаційної безпеки оштрафувало Cathay Pacific на 500000 фунтів за халатність у інформаційній безпеці
Британське Управління інформаційної комісії (ICO) оштрафувало Cathay Pacific Airways на 500 000 фунтів стерлінгів за те, що не захистило особисті дані клієнтів.
Установа заявила, що комп'ютерні системи авіакомпанії викрили дані про 111 588 жителів Великобританії та ще 9,4 мільйона людей з інших країн.
Сюди входили імена, паспорті дані, дати народження, номери телефонів, адреси та історії подорожей.
"Відповідна безпека" не була встановлена в період з жовтня 2014 року по травень 2018 року.
Про це ICO повідомила гонконгська фірма. А під час подальшого розслідування було виявлено наступні порушення:
- Резервні копії, не були захищені паролем
- Cервери мали застаріле ПО
- Операційні системи, які більше не підтримував розробник
- Не ефективний антивірусний захист
Принаймні в одній атаці був задіяний сервер із відомою власникам вразливістю, але його не виправили, незважаючи на те, що він був загальновідомим більше 10 років.
Стів Еккерслі, директор розслідувань ICO, заявив, що "в системі Cathay Pacific існує ряд основних недоліків у безпеці, що надав хакерам легкий доступ до інформації".
“Авіакомпанія провалила чотири з п'яти основних керівних принципів з питань кібернебезпеки Національного центру кібербезпеки”, додав він.
Штраф у розмірі 500 000 фунтів стерлінгів, що повинна виплатити компанія, є максимально можливим згідно із Законом про захист даних від 1998 року.
У липні 2019 року ICO оголосила, що штрафує British Airways в розмірі 183 млн фунтів стерлінгів за порушення у створенні систем інформаційної безпеки, а готельну групу Marriott на 99,2 мільйона фунтів стерлінгів. Але обидва штрафи були відкладені до цього року.
ICO заявив, що компанія Cathay Pacific швидко відреагувала, коли про це стало відомо, і звернулася за допомогою до спеціаліста з кібербезпеки, а також сповістила про це клієнтів.
У заяві про штраф, Cathay Pacific заявила, що "в черговий раз хотіла би щиро вибачитися за цей випадок".
У ньому сказано, що "значні суми" грошей були витрачені на охорону протягом останніх трьох років. "Однак ми усвідомлюємо, що в сучасному світі, коли вдосконалення кібератак продовжує зростати, нам потрібно і надалі інвестувати в наші ІТ-системи безпеки".