British Airways Hack: Det här är hur företag inte bör hantera dataöverträdelser

Chaos verkar regera hos British Airways, där hackare stal detaljerna om cirka 380 000 kundbokningar. Det har varit några dåliga svar på cyberattack på stora företag tidigare, men flygbolagets åtgärder, i det här fallet, kan vara en av de svagaste i den senaste historien. En del av detta kan bero på att företag nu krävs av EU att rapportera cyberattacker inom 72 timmar, och eftersom information fortfarande kan hållas kvar på grund av pågående brottsutredning.

Efter att bolaget haft kraftproblem inom sina IT-system i maj 2018, skulle du tro att BA nu skulle ha planer på att reagera på datorhändelser snabbare och sammanhängande. Ändå verkar detta senaste hack visa en katalog med missade möjligheter.

För det första ser hacken ut att ha varit i över två veckor, vilket påverkar bokningar som gjorts mellan 21 augusti och 5 september. Även om det här betyder att inte alla BA-kunder är i fara - bara de som bokat under den perioden - det är inte heller klart exakt vem som har påverkats negativt och huruvida de kommer att förlora pengar som ett resultat.

När hacken äntligen upptäcktes erbjöd BA inte initialt tillräckligt sammanhållen och robust information om den faktiska omfattningen av de data som tagits. Bolagets huvudsakliga uttalande om hacken definierade de uppgifter som inte inkluderades - pass och reseinformation - men stavade inte ut det där bankkortet var inblandat, istället rådde kunderna att kontakta sina banker. Det verkar som att försöka göra en positiv snurrning på mycket dåliga nyheter, vilket innebär att potentiella stöld av vilka kunder som är mest oroliga - deras kortuppgifter - inte framhävdes.

I avsnittet om vanliga frågor på uttalandets webbsida anges att: "Namn, adresser och alla bankkortsuppgifter var alla i fara." Men detta gav inte de faktiska detaljerna om hacket, till exempel om CVV (kortverifieringsvärde) säkerhetskoder som finns på baksidan av kort avslöjades, även om BA senare gav denna information till media. För att inte avslöja om bankuppgifterna var krypterade eller inte, lämnar det för många frågor fortfarande att besvaras.

För att vara på den säkra sidan uppmanar BA alla berörda kunder att avbryta sina kort. Detta ledde initialt till tilltäppta banktelefonlinjer på grund av det stora antalet drabbade kunder. Tyvärr är det för närvarande inte klart exakt vem som faktiskt har påverkats negativt. Flera kunder har redan rapporterat bedrägerier på sina kort.

Reaktionens knäskaraktär berodde troligen på EU: s nya allmänna dataskyddsbestämmelser (GDPR) som säger att dataöverträdelser av denna typ måste rapporteras inom 72 timmar efter upptäckten.

BA: s vd, Alex Cruz, berättade för BBC att företaget upptäckte hacken på onsdagskväll och hade kontaktat alla drabbade kunder före torsdagskvällen. "Det första var att ta reda på om det var något seriöst och vem det drabbade eller inte. Det ögonblick då faktiska kunddata hade äventyras, det var då vi började omedelbar kommunikation till våra kunder, säger han.

Han tillade: "Vi är engagerade i att arbeta med någon kund som kan ha påverkats ekonomiskt av denna attack, och vi kommer att kompensera dem för eventuella ekonomiska svårigheter som de kan ha lidit."

Vi borde vara tacksamma att, till följd av GDPR, händelsen var åtminstone offentliggjort snabbt. Kreditrapporteringsbyrån Equifax tog tre månader för att anmäla sin överträdelse av uppgifter år 2017, under vilken tid ledande befattningshavare sålde aktier i bolaget, även om en intern utredning rensade dem om insider eller olämplig handel och sade att de inte kände till händelsen när de gjorde trades.

Dido Harding, VD för telekomföretaget TalkTalk, gav ett av de bästa exemplen på hur man inte svarade på ett dataöverträdande. Efter att hackat företaget 2015 visade Harding på TV att kunderna skulle lita på e-postmeddelanden från TalkTalk-adresser och som innehöll länkar till TalkTalk-webbplatsen. Dessa förstås nu som standardtekniker som används av svindlare för att övertyga kunderna om att deras e-postmeddelanden är äkta.

Långtidseffekter av dataöverträdelsen

Den högsta bötesbeloppet för företagsbrott enligt GDPR är 4 procent av världsomsättningen. År 2017 var BA: s omsättning över 12 miljarder kronor, så om bolaget slogs med en sådan bötesbelopp skulle det kunna överstiga 480 miljoner pund, även om EU ännu inte har angivit huruvida hacken kan leda till böter. BA har redan erbjudit kompensation för kunder som drabbats av händelsen, vilket kan uppnå betydande belopp, särskilt så många kunder som BA varnade om händelsen inte fick veta om deras kortuppgifter faktiskt hade blivit stulna.

Som i andra exempel på kommersiella överträdelser har den inledande rapporteringen slagit på aktiens aktiekurs. Marknadsvärdet för BA: s modergrupp - International Consolidated Airlines Group - dämpades initialt med 3,8 procent. Men det är möjligen effekten på kundernas förtroende som kommer att få störst skada.

För närvarande har få detaljer släppts runt metoden för hacken. Så det kan innebära traditionella hackingsmetoder för att fånga data från en databas. Men om det handlade om att fånga detaljer om vilka tangenter som användarna tryckte på sitt tangentbord skulle det skaka grunden för vår digitala finansiella infrastruktur till dess kärna.

Om det finns en sak som det här hacket visar, är det att vi lever i en extremt ömtålig digital värld och där hacken kan gå oupptäckt under en tid. Så vi behöver bygga finansiella överföringssystem som integrerar kryptering vid varje steg i processen.

Denna artikel, skriven av Bill Buchanan från The Cyber ​​Academy, Edinburgh Napier University, publicerades ursprungligen på The Conversation. Läs den ursprungliga artikeln.