16:16
9/7/2019

Linie British Airways dostały* 183 mln funtów kary za naruszenie RODO. To jest ok. 204 mln euro albo jak wolicie ponad 867 mln złotych! Jednak w tym przypadku interesująca jest nie tylko wysokość kary, ale również powód jej nałożenia oraz… to, że wysokość kary nie jest ostatecznie klepnięta, co wiele mediów jakby pomija.

Trzeba szczerze powiedzieć, że pierwsza polska milionowa kara za RODO właśnie straciła swój blask. Ba! Inne “kary za RODO” też wydają się jakby malutkie i mało dotkliwe przy tym, co spotkało British Airways. A właściwie to może spotkać, bo jeszcze nie spotkało.

Samolot BA wydaje się zasmucony decyzją ICO o nałożeniu kary (fot. pl.depositphotos.com/stock-photography.html)

 

Brytyjski organ ochrony danych (ICO) rzeczywiście poinformował, że linie British Airways mogą zapłacić 183 mln funtów kary. Powodem ma być “cyberincydent” zgłoszony do ICO we wrześniu 2018 roku, polegający na przekierowaniu ruchu użytkowników “na oszukańczą stronę”. To wymaga wyjaśnienia, iż…

To był Magecart

O rzeczonym incydencie linie lotnicze informowały również swoich klientów, dokładnie w tym komunikacie. W dniach od 21 sierpnia do 5 września doszło do wykradzenia danych osób, które korzystały ze strony ba.com albo z aplikacji mobilnej linii lotniczej. Początkowo mówiono o wycieku 380 tys. osób, który obejmował dane o płatnościach wykonywanych w pechowych dniach. Na szczęście nie doszło do wycieku informacji o paszportach. Według późniejszych ustaleń ICO doszło do zebrania danych 500 tys. osób.

Jeśli chcecie znać dokładniejsze szczegóły ataku to jego analizę opublikowała firma RiskIQ. Narzędziem cyberprzestępców był Magecart będący dość dobrze znanym “webowym skimmerem”, czyli kodem podrzucanym na stronę internetową w celu przejmowania danych kartowych. Nawiasem mówiąc to również Magecart był użyty do ataku na Ticketmastera, a także na innych e-usługodawców i sprzedawców (m.in. Newegg).

Atakujący musieli mieć całkiem niezły dostęp do serwerów British Airways, bo udało im się nie tylko umieścić na stronach Magecarta, ale też nieźle go zamaskować. Tylko jak to się stało, że atak skierowany na stronę dotknął użytkowników aplikacji mobilnej? Cóż. Aplikacje bardzo często bazują na treściach załadowanych ze strony internetowej.

ICO twierdzi, że do ataku nie mogłoby dojść gdyby nie słabe zabezpieczenia stosowane przez British Airways (mówiąc po prawniczemu – zdaniem ICO doszło do naruszenia art. 32 RODO). W komentarzu dla prasy brytyjska komisarz ds. informacji Elizabeth Denham podkreśliła, że jeśli jesteś zaufanym podmiotem to musisz się pilnować.

Cyberataki mogą zaboleć podwójnie

Przedstawiciele BA widzą sprawę nieco inaczej. W wypowiedziach cytowanych m.in. przez BBC stwierdzili oni, że firma padła ofiarą zaawansowanego, złośliwego, kryminalnego ataku. Poza tym – trzeba to przyznać – BA podeszła do wycieku dość odpowiedzialnie, informując o nim klientów i współpracując z ICO.

* – jest jeszcze nadzieja

W tym miejscu odniesiemy się do czerwonej gwiazdki umieszczonej w pierwszym akapicie tekstu. Kara nie została nałożona “ostatecznie”, o czym mówi również komunikat ICO. Tak naprawdę ICO jedynie wydał zawiadomienie o zamiarze nałożenia tak wysokiej kary. Wiele mediów pominęło tę informację sugerując, że decyzja o karze jest ostateczna. Nie jest.

ICO has been investigating this case as lead supervisory authority on behalf of other EU Member State data protection authorities. It has also liaised with other regulators. Under the GDPR ‘one stop shop’ provisions the data protection authorities in the EU whose residents have been affected will also have the chance to comment on the ICO’s findings.

The ICO will consider carefully the representations made by the company and the other concerned data protection authorities before it takes its final decision.

Jeśli BA faktycznie dostanie tak dużą karę to wszyscy będziemy musieli zmienić swoje zdanie o konsekwencjach z jakimi może się wiązać wyciek danych będący skutkiem bezpośredniego ataku cyberprzestępców. Można nawet rozważyć, czy zbytnia surowość kar w takich przypadkach nie zniechęci firm do prób tuszowania wycieków? Do tej pory nie widzieliśmy aż tak wysokich “kar za RODO” i nawet Facebook dostał od ICO znacznie niższą karę za swój udział w aferze Cambridge Analytica. Ciekawie będzie się przekonać, czy linie lotnicze faktycznie tak słono zapłacą.

Przeczytaj także:

33 komentarzy

Dodaj komentarz
  1. Ciekawe, że widać na stronie

    Hmmm

  2. Firma nic sobie z tego nie zrobi. Karę przeżuci na klientów poprzez podniesienie cen biletów lotniczych. RODO powstało tylko po to by wyniszczać drobne firmy.

    • A co w tym takiego dziwnego, że to klienci zapłacą? Podatki Gatesa płacą użytkownicy Windowsów i to od zawsze.

    • …albo klienci polecą konkurencją, która dotychczas była droższa, bo nie oszczędzała tak bardzo na bezpieczeństwie.
      BTW, nie wiem jak w UK, ale w Polsce kary finansowe nałożone na spółkę mogą być wyciągnięte regresem od zarządu, jeśli ten był odpowiedzialny.

    • Taa, a ta konkurencja z czasem doprowadzi do monopolizacji.
      Polecam sprawdzić ceny artykułów w hipermarketach. Zaczynają się robić wręcz kosmiczne przy braku konkurencji.

    • agatka po co te wylewanie żali, że drogo? To jest logiczne, że po osiągnięciu pozycji na rynku, wyniszczeniu konkurencji hipermarkety zaczną dyktować ceny jakie im pasuje.

      Ja uważam, że t klient powinien zdecydować czy chce by go RODO obowiązywało czy nie. To co zrobiła UE z wdrożeniem RODO w obecnej formie to dyktatura.

    • @misiak: A jak powiadomisz np. portal, że nie chcesz by RODO Cię obowiązywało? Nie uważasz, że w takim razie portal może uwarunkować jego użytkowanie od wyłączenia obowiązywania RODO? W końcu jako właściciel portalu mogę nie chcieć, aby ludzie go używający chcieli podlegać pod RODO. Co prowadzi do absurdu oczywiście.

    • @agatka a które to ceny w hipermarkecie masz kosmiczne? Jak dla ciebie jest za drogo w hipermarketach, to zaopatruj się w osiedlowych sklepikach.
      Skoro masz monopol hipermarketów, to dlaczego chleb w nich nie kosztuje 100PLN?
      Dlaczego Windows na PC nie kosztuje $1000? Dlaczego android jest za darmo, skoro praktycznie zmonopolizował rynek?

    • Oczywiście że tak się nie stanie. Firma nie przerzuci tego kosztu na klientów, bo przestanie być konkurencyjna i klienci najzwyczajniej pójdą za tańszą ofertą – skorzystają z usług innych linii lotniczych. Jest to ich strata finansowa i albo się dostosują do przepisów, albo będą płacić kolejne kary aż się zawiną z rynku.
      RODO nie powstało po to aby wyniszczać małe firmy, tylko żeby dać potężne prawa osobom fizycznym. W końcu przedsiębiorcy zaczną respektować nasze prawa i zwracać uwagę na prywatność osób. Poza tym która drobna firma płaci duże kary? Jak na razie żadna, jest to bat na gigantów którzy za nic mieli prywatność drobnych osób.

    • Kenjiro 2019.07.10 08:03
      Przy zakładaniu konta na portalu można wprowadzić stosowną opcję. Ci co nie chcą RODO dostają rabat, a reszta płaci normalnie. Wszystko dałoby się uregulować prawnie.

      A jak jest z kartami kredytowymi? W hotelach już nie przyjmują gotówki i co im zrobisz?

    • studencik
      To było wiadomo od początku, że rodo nie służy dobru obywateli tylko dojeniu kasy.

      agatka
      Ceny usług za sprawą RODO wzrosły o zaledwie od 9% do 15%. Tylko niektórzy podnieśli o 100%. Jak ten słynny hosting na ,którym stały sklepy. :)

      misiak
      Dokładnie tak powinno być. Zmuszanie obywateli do czegokolwiek jest chore.

    • John Sharkrat
      Może dlatego tyle nie kosztuje bo są piekarnie ,a windowsa łatwo spiracisz. Pietruszka po 12 zł, marchew po 4 zł, kalafior po 5 zł itd. W poprzednim roku ceny 50% niższe.

      Android nie jest darmo. Płacisz prywatnością, korzystaniem z usług. Google przymusza do założenia konta w google play. Daje dysk google, a później wprowadza ograniczenia. YT niby free, ale google zarabia na reklamach i wymusza cenzurę.

    • Skoro pociekły dane klientów to klienci powinni dostać te 183 miliony funtów, a nie UE.

    • UP.
      Gdyby to klienci ( poszkodowani) mieli otrzymać kasę, a nie ue to by tego tak ochoczo nie prowadzili. Rodo nadaje się do kosza. Tylko podnosi koszta prowadzenia działalności za co pośrednio płaci konsument.

    • John Sharkrat
      Z ceną chleba to rozwaliłeś system. Widać, że nie masz pojęcia jak się prowadzi biznes. Gdyby monopolista wprowadził taką cenę to ludzie piekli by sami, albo zaraz pojawił by się jakiś Janusz biznesu co sprzedawałby taniej. Sieciówki podnoszą ceny, ale stopniowo.

  3. @misiak
    A jak ty sobie to wyobrażasz?
    Może na drogach (czy w jakiejkolwiek innej dziedzinie życia) też zróbmy dowolność: albo deklarujesz chęć jazdy zgodnie z przepisami, albo masz je w poważaniu?
    Jedna firma będzie trzymać dane w ryzach, a drugi, który te same dane otrzyma od pierwszej firmy, je ujawni. Mamy paradoks i idealne pole dla interpretacji urzędniczej.

    • “Może na drogach (czy w jakiejkolwiek innej dziedzinie życia) też zróbmy dowolność: albo deklarujesz chęć jazdy zgodnie z przepisami, albo masz je w poważaniu?” – widzę, że antenka w berecie upie..oliła ci się przy samej czapce. Na swoim podwórku też stosujesz zasady ruchu drogowego, a w kiblu przepisy szpitalne?
      Poza tym twój przykład jest z du.y i nie na temat.

    • dj@beł 2019.07.10 07:57
      Zapominasz, że to są moje dane osobowe z ,którymi mam prawo robić co chcę. To, że UE ogranicza to tylko świadczy o KOMUNIE.

      Przykład podałeś z tyłeczka “_

    • misiak
      Muszę cię rozczarować, ale nic nie jest twoje. Nawet własne życie nie należy do ciebie bo państwo jednym dekretem może cię wysłać na wojnę.

    • Od zawsze było wiadomo, że obywatele muszą słuchać się władzy wykonując ich polecenia. O demokracji nie ma mowy bo władza, która stanowi prawo została wybrana przez zaledwie 18% obywateli ( to jest 36% ogółu głosów).

    • Możliwość wyboru czy chce się być chronionym czy nie skończy jak z ciasteczkami. Będziemy informowani przy wejściu na stronę że twoje dane są zbieranie i nie chronione i jak ci się to nie podoba to możesz wyjść. Kolejne okienko do zamknięcia bo co innego możesz zrobić.

  4. Nie no Panowie nie dajcie się prowokować. Pan @misiak to osoba, która kompletnie nie ma pojęcia o czym pisze… Należy uznać, że to jakiś troll…

  5. To dlaczego chleb w hipermarkecie nie kosztuje 100 PLN?

  6. A u nas rekordowa kara za sprzedaż na pokazach – Ponad 2,7 miliona.

    https://www.uokik.gov.pl/aktualnosci.php?news_id=15616&fbclid=IwAR1QmBfXbE3Lx1nGurLrHOB9375xm2UBM7JbDah4wIGPn2TVrUR3DECJTC0

  7. Pytanie do moderacji: na nakiej zasadzie sa akceptowane komentarze? Mój komentarz o CSP nie został zaakceptowany, a ewidente trolowe komentarze ze scamem (“mucha” z art. O zamknieciu bitcoin) przechodzą.

  8. To jest przesada – wychodzi ponad 1000 zł za osobę. Jest to AFAIK znacznie więcej niż przewidywane straty, które mogą ponieść ofiary ataku (np. tylko niewielka część wykradzionych kart kredytowych jest wykorzystywana przez przestępców, zresztą i tak w takich sytuacjach posiadacze kart dostają zwykle zwrot środków).

  9. Jako zwykły, szary obywatel nie widzę żadnego pożytku z RODO. Dalej dzwonią z informacjami o wygraniu zestawu garnkow, spam jak przychodził tak przychodzi tylko zaczynają od firm $$ zbierać a pośrednio ją za to zapłacę…

    • Rzeczywiście jest z tym problem. Na pytanie, skąd mają numer, odpowiadają: “numer został wygenerowany losowo”. Ale jakoś łączą losowy numer z miejscowoscia.
      Ustawowo powinno byc zakazane dzwonienie z ofertami na losowe numery. Zakończyłoby to wykorzystywanie nielegalnie udostępnianych baz danych pod przykrywką losowania.

      Ps Na pytanie o inspektora danych odpowiadają tak, że nie da się ich zrozumieć.

    • Jak byś przeczytał RODO, to byś nie oczekiwał, że nagle firmy dzwoniące nie będą do ciebie dzwonić. Poczytaj o prawnie uzasadnionym interesie administratora w kontekście telemarketingu to zrozumiesz o co chodzi. Najgorsze jest to, że o RODO wypowiadają się ludzie, którzy go nie czytali.

    • Kiedyś zgłosiłem nawet sprawę do IODO z numerem telefonu, datą, godziną i prawdopodobną nazwą (osoba dzwoniąca chyba celowo kilka razy powtarzała ją szybko i niewyraźnie) to po jakimś czasie dostałem pytanie o dokładne dane i adres tej firmy. Danych oczywiście nie wysłałem więc otrzymałem odpowiedź, że z powodu przesłania niewystarczających danych identyfikacyjnych moje zgłoszenie nie będzie rozpatrywane.

  10. Szarpnie ich trochę po budżecie. Będą mniejsze premie dla prezesów.

  11. I nagle wszyscy pracownicy i klienci BA dołączyli do zwolenników brexitu.

  12. Artur: “RODO nie powstało po to aby wyniszczać małe firmy, tylko żeby dać potężne prawa osobom fizycznym. W końcu przedsiębiorcy zaczną respektować nasze prawa i zwracać uwagę na prywatność osób.” Podzielą tę karę na wszystkich poszkodowanych klientów i im dadzą te pieniądze w ramach rekompensaty? Nie sądzę. To tak, jak dawanie mandatu za spowodowanie kolizji. Czy poszkodowany jest beneficjentem tej grzywny?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: