圖片來源: 

pixabay

英國航空(British Airways,BA)在2018年遭到駭客入侵,而使得逾40萬名客戶的資料外洩,英國資訊專員辦公室(Information Commissioner's Office,ICO)以BA違反歐盟個資法GDPR為由,在上周對BA祭出2,000萬英鎊(約7.6億元新台幣)的罰款,宣稱是ICO所判罰的最高紀錄,不過,這已經遠低於ICO原本祭出的1.83億英鎊罰金。

調查顯示,駭客可能存取近43萬名BA客戶與員工的個人資料,包括姓名、地址、支付卡號碼,以及24.4萬名BA客戶的信用卡檢查碼,再加上BA員工與管理人員的使用者名稱與密碼,以及612名BA高層俱樂部的使用者名稱與PIN碼。

ICO指出,處理如此大量個人資料的BA缺乏適當的安全機制,才讓駭客有機可趁,違反了資料保護法令,此外,駭客是在2018年的6月22日入侵,但BA卻是在同年的9月5日才得知,還是第三方通知BA的,若非如此,BA不知道要到什麼時候才會察覺已被駭客滲透。

ICO認為,BA應該要能發現自己安全上的弱點並加以解決,而且若提前修補,就能避免該次的駭客攻擊行動,例如應當要限制只有特定角色才能存取應用程式、資料與工具,或者是應該要在業務系統上以模擬攻擊進行測試,也應以多因素認證來保護員工及第三方的帳號安全,而且這些措施並不會帶來過多的成本,也沒有技術上的障礙,有些功能甚至在BA所使用的微軟作業系統上就能設定。

ICO針對此案首度宣判的罰款高達1.83億英鎊,是以BA全年營收的1.5%來計算,但在BA提出挑戰之後,ICO將罰款調降至2,000萬英鎊,理由是BA之後的表現良好,以及武漢肺炎疫情(COVID-19)對經濟所帶來的衝擊。

然而,英國國際律師事務所Pinsent Masons分析,在ICO所刪減的1.63億英鎊的罰款中,大約只有400萬英鎊可歸因於疫情,更令人對ICO一開始計算罰金的方式感到好奇,而且假設針對BA的罰金可以大幅調降,那麼同樣也因資料外洩事件而被處以9,900萬英鎊(約38億元新台幣)的萬豪國際,也很有機會不必支付如此昂貴的罰款。Pinsent Masons則建議ICO應該要更務實一些,在未來計算罰款時應該要力求威懾與合理兼具才是。

熱門新聞

Advertisement