Privacy

---

Abstract

Il 16 ottobre 2020 ICO notificherà una penalità alla British Airways plc dopo un'indagine, per un ammontare pari a  20 milioni di Euro.

L'indagine ICO ha rilevato che la compagnia aerea trattava una quantità significativa di dati personali senza adeguate misure di sicurezza.

La mancanza di misure adeguate ha determinato la vulnerabilita' dei sistemi della compagnia ad un attacco informatico nel 2018. 

Questo e' stato considerato "per se" un  infrazione della legge sulla protezione dei dati. 

British Airways è stata oggetto di un attacco informatico nel 2018, ma non e' stata in grado di rilevarlo immediatamente, lasciando colpevolmente trascorrere più di due mesi.

Gli investigatori dell'ICO hanno concluso che British Airways avrebbe dovuto identificare i punti deboli nella sua sicurezza e risolverli con le misure di sicurezza piu' avanzate e gia' disponibili all'epoca.

Aggiornando i propri sistemi, la compagnia,  avrebbe impedito l'attacco informatico del 2018. 

Per questo e' stato deciso di elevare le sanzioni in violazione della Sezione 155 del Data Protection Act 2018.

Questo documento riassume e spiega meglio la logica della decisione, estraendo le migliori pratiche applicabili al caso.

1. Introduzione
2. Dati personali coinvolti nell'inadempimento
3. Come avrebbe dovuto reagire la Compagnia
4. Conclusione
5. Migliori pratiche applicabili nella prevenzione degli attacchi informatici

 
1. Introduzione  

In sintesi, tra il 22 giugno e il 5 settembre 2018, un malintenzionato ("l'Haker") ha ottenuto l'accesso a un'applicazione web interna del sistema British Airways e ha compromesso le credenziali di un punto di accesso remoto Citrix ("CAG").  

Subito dopo aver ottenuto l'accesso, l'aggressore ha modificato un file JavaScript sul sito Web di British Airways e ha proceduto con l'esfiltrazione dei dati dei titolari di carta di credito dal sito Web a un dominio esterno "$ www.BAways.com $".  

British Airways, ha agito prontamente notificando l'attacco al Commissario (ICO) il 6 settembre 2018, e quindi formalmente ottemperato ai suoi obblighi in tal senso. 

Il Commissario ha invece ritenuto che BA fosse da sanzionare, ma  considerando il comportamento diligente della compagnia durante le indagini, ha ridotto l'ammontare delle sanzioni.  

Queste sono state elevate perché il Commissario ha riscontrato che, rispetto a quanto offerto dal mercato, British Airways non ha garantito una adeguata sicurezza nel trattare i dati personali dei propri clienti, mancando di adeguate misure per la protezione dei dati contro la perdita accidentale, distruzione o danneggiamento.    

Tutti i requisiti obbligatori espressi dall'articolo 5, paragrafo 1, lettera f) e dall'articolo 32 del GDPR.  

In conclusione, la violazione costituisce un grave mancato rispetto delle norme prescritte dal regolamento GDPR. 

l'ICO si aspettava un quadro di protezione dei dati forte e più coerente dall'azienda.

In particolare, è obbligatorio trattare i dati del cliente in modo da garantire un'adeguata sicurezza dei dati personali, inclusa la protezione contro:  perdita accidentale distruzione o danneggiamento  Il mancato rispetto è “di per sé” una violazione del quadro normativo, art. 5 del GDPR chiarisce che il responsabile del trattamento è responsabile del rispetto, a meno che non dimostri di aver preso le misure adeguate per prevenire tale evento. 

E non è stato il caso di British Airways. 

2. Dati personali coinvolti nell'inadempimento  

Si ritiene che l'Hacker abbia potenzialmente avuto accesso ai dati personali di circa 429.612 clienti, in particolare:  Nome, indirizzo, numero di carta e numero CCV dei clienti BA:

• 244.000 interessati Solo numero di carta e CVV 
• 77.000 interessati Solo numero di carta 
• 108.000 interessati Nomi utente e password degli account dei dipendenti e degli amministratori di BA 
• Nomi utente e password degli account dei dipendenti e degli amministratori di BA 
• Nomi utente e numeri pin fino a 612 account Ba Executive Club  

Questi dati sono sufficienti per avere accesso al proprietario di quelle carte e potenzialmente causare danni ancora maggiori, nel prossimo futuro.

3. Come avrebbe dovuto reagire  la compagnia

C'erano numerose misure che BA avrebbe potuto utilizzare per mitigare o prevenire il rischio che un aggressore potesse accedere alla rete BA, ad esempio:

• limitando l'accesso ad applicazioni, dati e strumenti solo a ciò che è necessario per svolgere il ruolo di un utente
• effettuare test rigorosi, sotto forma di simulazione di un attacco informatico, sui sistemi aziendali;
• proteggere gli account dei dipendenti e di terze parti con l'autenticazione a più fattori
• vietare l'accesso a dipendenti di terze parti allo "SWISSPORT" da cui è partito l'attacco
• proteggere i dettagli delle carte con una forte protezione e cancellare tutti i dati non necessari.
• non consentire il reindirizzamento dei dati del cliente verso altri siti, BA ha bloccato il collegamento solo su avviso di terze parti e dopo alcuni mesi
• installazione di un antivirus di nuova generazione

L'ICO ha riscontrato che nessuna di queste misure avrebbe comportato costi eccessivi o barriere tecniche. 

Inoltre e' stato individuato che alcune soluzioni erano gia' disponibili anche tramite il sistema operativo Microsoft utilizzato da BA.

Prima di elevare le sanzioni ICO ha valutato:

• la natura
• la gravità 
• la durata della violazione 

tenendo conto della 

• natura rispetto all'ambito di esercizio 
• della finalità del trattamento in questione 
• del numero di interessati
• della gravita' del danno subito
• il carattere negligente o intenzionale dell'infrazione
• le azioni intraprese dal titolare del trattamento o dal responsabile dello stesso, per mitigare il danno subito dagli interessati
• il grado di responsabilità del titolare del trattamento o del responsabile, tenuto conto delle misure tecniche e organizzative da questi attuate ai sensi degli articoli 25 e 32
• eventuali precedenti violazioni pertinenti e gia' roscpmtrate
• il grado di collaborazione con l'autorità di controllo, al fine di porre rimedio alla violazione e mitigare i possibili effetti negativi della violazione
• le categorie di dati personali interessati dalla violazione
• il modo in cui la violazione è venuta a conoscenza dell'autorità di controllo, incluso se e in che misura il titolare del trattamento o il responsabile del trattamento abbia notificato la violazione all'autorità di controllo
• se sono state in precedenza disposte misure nei confronti del titolare del trattamento o del responsabile del trattamento in relazione allo stesso oggetto

Nonostante questa attenta analisi, l'ufficio ispettivo dell'ICO ha concluso per la sanzione da 20 milioni.

BA ha accettato il verdetto ed ha  apportato notevoli miglioramenti alla sua sicurezza IT.

4. In conclusione

Piu' esattamente, l'ICO ha concluso che tra il 25 maggio 2018, quando è entrato in vigore il GDPR, e almeno il 5 settembre 2018, quando  è intervenuta per impedire il trasferimento dei dati personali a un altro sito Web, la compagnia non ha adempiuto ai propri obblighi, ai sensi dell'articolo 5 e dell'articolo 32 GDPR.

La mancata protezione dei dati personali dei passeggeri, inclusa la protezione contro il trattamento non autorizzato o illegale, la perdita, la distruzione o il danneggiamento accidentale dei dati ha comportato la sanzione. 

Ridotta a 20 milioni di euro per il comportamento diligente e collaborativo della parte sanzionata.

5. Migliori Pratiche per agire in prevenzione

Qualsiasi azienda dovrebbe disporre di un piano di implementazione del rischio di sicurezza che includa:

• contratti di valutazione del rischio da collegare alle valutazioni del rischio esistenti
• controllo severo dei sistemi di sicurezza informatica delle parti terze, attraverso una procedura di accreditamento
• Ottenere garanzie adeguate da parte dei fornitori esistenti, dell'adozione di misure di mitigazione dei rischi
• disporre audit e monitoraggio della conformità dei sistemi di sicurezza periodicamente
• Mappatura completa di tutti i livelli delle catene di approvvigionamento a monte ea valle al livello dei singoli contratti

Tutte queste misure  sono state suggerite  da innumerevoli enti internazionali sin dal 2018, e la natura oggettiva delle sanzioni poste a protezione dei dati sensibili obbliga i soggetti sottoposti al continuo aggiornamento alle piu' moderne tecnologie disponibili.

Ottobre 2020

di Daniele Lupi