Una multa record pari a 183 milioni di sterline (204 milioni di euro) è stata indicata a British Airways dall’ICO, Information Commissioner’s Office, ossia il garante della privacy britannico. Si tratta della sanzione più alta proposta ad oggi dall’ICO, ed è proprio il caso di dire che è conseguenza di un nuovo trend iniziato nel 2018 con l’entrata in vigore del GDPR. La notizia è quindi allarmante per tutte le aziende, non solo per BA, che aveva subito un data breach abbastanza limitato per numero di clienti impattati (380mila), seppure importante per la tipologia di informazioni sottratte, come mostra la figura successiva (dove il caso di British Airways quasi scompare in uno scenario dominato da perdite di dati per centinaia di milioni di clienti).
Fonte: https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/, aprile 2019
A spiegazione della decisione presa, nel comunicato ufficiale l’Information Commissioner Elizabeth Denham ha dichiarato:
“I dati personali delle persone sono esattamente questo: personali. Se un’organizzazione non è in grado di proteggerli da perdita, danneggiamento o furto, non si tratta solo di un inconveniente. Per questo motivo la legge è chiara: quanto ti vengono affidati dei dati personali, devi trattarli con molta attenzione”.
La reazione di British Airways
Non si è fatta attendere la reazione del Ceo di British Airways, Alex Cruz: “La decisione dell’ICO ci sorprende e ci delude – avrebbe affermato Cruz – Abbiamo risposto prontamente nel momento in cui i criminali stavano rubando i dati. Inoltre, non sono state trovate prove di attività fraudolente legate agli account compromessi. Ci siamo scusati con i clienti per qualsiasi inconveniente causato dall’evento”.
I fatti precedenti
La sanzione a British Airways arriva dopo l’attacco hacker di settembre 2018, durato oltre 2 settimane e con esposizione di dati personali e numeri di carta di credito per 380mila clienti della compagnia.
BA aveva tempestivamente comunicato di aver subito l’attacco, spiegando che i clienti che avevano prenotato biglietti di volo sul proprio sito ufficiale (ba.com) e sull’app mobile British Airways tra il 21 agosto e il 5 settembre 2018, avevano ceduto tutti i propri dati agli hacker. Inoltre aveva provveduto a scusarsi con i 380.000 clienti interessati dal data breach, informandoli della possibilità di essere rimborsati in caso di eventuali danni:
- rimborso su tutte le eventuali frodi successive con le carte di credito rubate (non ci sarebbero però state)
- offerta di un anno di abbonamento al servizio di “credit rating” di Experian più un monitoraggio sul furto d’identità.
Successivamente l’attacco è stato attribuito al gruppo Magecart, noto per precedenti azioni andate a segno sempre relative al furto di numeri di carte di credito su piattaforme di e-commerce (TicketMaster, Newegg e altre). La tecnica utilizzata, detta di “digital credit card skimmer”, ossia l’inserimento di codice malevolo nella pagina di checkout del sito web compromesso, in modo da catturare i dettagli del pagamento del cliente inviandoli in automatico a un server remoto (qui l’analisi tecnica dell’attacco).
Le motivazioni dell’ICO dietro la multa
Nonostante British Airways abbia cooperato fin dall’inizio con l’ICO, e abbia immediatamente provveduto a incrementare le misure di sicurezza dal momento in cui ha avuto conoscenza dei fatti, secondo il garante inglese la compromissione sarebbe stata causata da “poor security arrangements”.
L’ICO, come riporta il comunicato, avrebbe svolto le sue investigazioni – come principale autorità di controllo – anche in rappresentanza delle altre autorità sulla data protection europee. Da considerare anche che, come prevedono le clausole ‘one stop shop’ del GDPR, tutti i cittadini europei e le organizzazioni presenti in più paesi potrebbero per questo data breach rivolgersi direttamente all’ICO UK. Secondo l’ICO, si sarebbe trattato di un data breach rilevante, con numerose informazioni sottratte ai clienti della compagnia aerea: nomi, indirizzi, account di log in, dati di carte di pagamento (compresa la data di scadenza e il codice di sicurezza della carta), dettagli relativi alle prenotazioni dei viaggi. Con il GDPR entrato a regime, la sanzione definita dall’ICO, pari a 183,39 milioni di sterline, corrispondenti all’1,5% del fatturato globale, e quindi non è neanche la cifra massima, perché per i casi molto gravi il GDPR fissa un massimo pari al 4% del fatturato globale.
BA ha ora 28 giorni per appellarsi alla sanzione proposta dall’ICO. Finora, quella più alta comminata dall’ICO era la multa pari a 500mila sterline a Facebook, che a causa dei fatti legati a Cambridge Analytica aveva perso informazioni per 87 milioni di clienti: questo però prima dell’entrata in vigore del GDPR. Stessa multa di 500mila sterline era stata anche stabilita contro l’agenzia di credit reporting Equifax, per un data breach massivo nel 2017 riguardante centinaia di milioni di clienti. BA avrà ora la possibilità di rispondere a quanto dichiarato dall’ICO, su aspetti emersi durante l’investigazione e sulla relativa sanzione. Prima della decisione finale ci sarà quindi ancora una fase di analisi sia di quanto risponderà BA, sia di quanto affermeranno le autorità di data protection UE coinvolte nel caso.
Quali lezioni dalla decisione dell’ICO
Dal momento che incidenti di questo genere sono molto diffusi, la notizia è oggi che con il GDPR – qualora il danno apportato ai singoli sia grave, e in questo caso lo è, perché come minimo i clienti avranno dovuto bloccare le proprie carte di credito – le sanzioni possono passare da centinaia di migliaia di euro a centinaia di milioni di euro (3 ordini di grandezza superiori!).
Oltre a dare un segnale importante a tutti, la sanzione proposta dall’ICO ci obbliga a pensare su quali avrebbero dovuto essere le misure di sicurezza più appropriate in essere per evitare del tutto il data breach. Oggi la compliance e la cybersecurity non sono più un optional: chiunque collezioni, archivi, elabori dati personali sensibili, deve farsi carico di un’ampia strategia di data protection per evitare sia le elevate sanzioni legate al GDPR, sia tutti gli altri costi del caso.
Quali quindi le misure di sicurezza da adottare?
Non è ancora chiaro come gli hacker abbiano avuto accesso ai sistemi BA e siano riusciti a posizionarvi il codice malevolo che funzionava da skimmer dei dati inseriti: è chiaro però che la società per un certo periodo di tempo non si è accorta del funzionamento errato dell’applicazione di pagamento: un sistema di File Intergity Monitoring (FIM) avrebbe potuto segnalare le modifiche al codice segnalando l’attacco.
Una modifica non autorizzata a un sistema critico come un’applicazione web di pagamento dovrebbe in ogni modo generare un alert e dar via a un’investigazione interna. Da valutare anche lo stato di aggiornamento del software, perché strettamente collegato alle relative vulnerabilità. Evidentemente, il sistema non aveva una progettazione sicura fin dall’inizio (security-by-design). Anche a livello di rete, un monitoraggio attento del traffico con analisi dei processi in esecuzione e di traffico in entrata e in uscita poteva rivelare operazioni sospette. Un vero e proprio dirottamento di dati verso un sito esterno dovrebbe essere immediatamente segnalato dagli stessi sistemi.
Quali saranno i costi per British Airways?
Oltre alla sanzione, la compagnia aerea si è impegnata a rimborsare i danni ai clienti. Questo significa che, anche evitando qualsiasi azione legale, potenzialmente potrebbe avere conseguenze economiche enormi. Poiché quello che andrebbe fatto per tutti i clienti è bloccare le carte di credito e richiederne di nuove, questo, per 360mila clienti, potrebbe costare milioni di sterline a BA.
Come anche la possibilità offerta a tutti di avere un monitoraggio del credit rating e furto d’identità da parte di Experian: costo del servizio 100 euro a cliente, quindi 38 milioni di euro più eventuali altri danni nel caso in cui si verifichino effettivi furti di identità attribuibili al data breach. In conclusione, una raccomandazione che scaturisce dal caso è anche quello di dotarsi di una buona polizza cyber, che come minimo, potrebbe essere d’aiuto nel coprire i costi per danni causati a terzi.
A cura di:
Elena Vaciago, The Innovation Group