British Airways Hack: dit is hoe bedrijven gegevensdoorstortingen niet moeten verwerken

Chaos lijkt te regeren in British Airways, waar hackers de details van ongeveer 380.000 klantenboekingen stalen. Er zijn in het verleden enkele slechte antwoorden geweest op cyberaanvallen op grote bedrijven, maar de acties van de luchtvaartmaatschappij kunnen in dit geval een van de zwakste zijn in de recente geschiedenis. Een deel hiervan kan zijn dat bedrijven nu binnen 72 uur verplicht zijn om cyberaanvallen te melden en omdat informatie nog steeds kan worden achtergehouden vanwege lopend strafrechtelijk onderzoek.

Nadat het bedrijf in mei 2018 vermogensproblemen had ondervonden in zijn IT-systemen, zou je denken dat BA nu plannen zou hebben om sneller en coherent te reageren op computerincidenten. Toch lijkt deze nieuwste hack een catalogus met gemiste kansen te tonen.

Ten eerste lijkt de hack meer dan twee weken te hebben geduurd, wat gevolgen heeft gehad voor boekingen die zijn gemaakt tussen 21 augustus en 5 september. Hoewel dit betekent dat niet alle BA-klanten in gevaar zijn - alleen degenen die in die periode boekingen hebben gedaan - het is ook nog niet duidelijk precies wie er negatief is geraakt en of ze hierdoor geld zullen verliezen.

Toen de hack uiteindelijk werd ontdekt, leverde BA aanvankelijk niet voldoende coherente en degelijke informatie over de werkelijke omvang van de gegevens. De belangrijkste verklaring van het bedrijf over de hack definieerde de gegevens die niet waren opgenomen - paspoort- en reisgegevens - maar niet dat de gegevens van de bankkaart betrokken waren, maar adviseerden klanten om contact op te nemen met hun bank. Dit lijkt op een poging om een ​​positieve draai te geven aan heel slecht nieuws, en betekent dat de potentiële diefstal van waar klanten het meest zorgen over maken - hun kaartgegevens - niet werd benadrukt.

In het gedeelte Veelgestelde vragen van de webpagina van de verklaring stond dat: "Namen, adressen en alle bankkaartgegevens waren allemaal in gevaar." Maar dit gaf niet de feitelijke details van de hack, zoals of de CVV (kaartverificatiewaarde) beveiligingscodes gevonden op de achterkant van kaarten werden onthuld, hoewel BA deze informatie later aan de media verstrekte. Om niet te onthullen of de bankgegevens al dan niet gecodeerd waren, moeten er nog te veel vragen beantwoord worden.

Voor alle zekerheid adviseert BA alle betrokken klanten hun kaarten te annuleren. Dit leidde aanvankelijk tot verstopte banktelefonie vanwege het grote aantal getroffen klanten. Helaas is het op dit moment niet precies duidelijk wie daadwerkelijk een negatieve invloed heeft gehad. Verschillende klanten hebben al fraude op hun kaarten gemeld.

Het knellende karakter van de reactie was waarschijnlijk te wijten aan de nieuwe algemene gegevensbeschermingsverordening (GDPR) van de EU, waarin wordt gesteld dat dergelijke gegevensinbreuken binnen 72 uur na ontdekking moeten worden gemeld.

BA's CEO, Alex Cruz, vertelde de BBC dat het bedrijf de hack op woensdagavond had ontdekt en donderdagavond contact had opgenomen met alle betrokken klanten. "Het eerste ding was om erachter te komen of het iets ernstigs was en wie het beïnvloedde of niet. Op het moment dat de feitelijke klantgegevens in het gedrang kwamen, begonnen we onmiddellijk met onze klanten, "zei hij.

Hij voegde hieraan toe: "We zijn vastbesloten om samen te werken met elke klant die mogelijk financieel getroffen is door deze aanval, en we zullen ze compenseren voor alle financiële problemen die ze mogelijk hebben geleden."

We zouden dankbaar moeten zijn dat, dankzij GDPR, het incident op zijn minst snel openbaar werd gemaakt. Kredietrapportagentschap Equifax nam drie maanden de tijd om zijn datalek in 2017 te melden, tijdens welke tijd executives aandelen in het bedrijf verkochten, hoewel een intern onderzoek hen van insiders of ongepaste handel vrijmaakte, zeggend dat zij zich niet bewust waren van het incident toen zij de trades.

Dido Harding, de CEO van telecombedrijf TalkTalk, leverde een van de beste voorbeelden van hoe niet te reageren op een datalek. Nadat het bedrijf in 2015 werd gehackt, verscheen Harding op tv, waarmee werd gesuggereerd dat klanten e-mails van TalkTalk-adressen moesten vertrouwen en die links bevatten naar de TalkTalk-website. Deze worden nu beschouwd als standaardtechnieken die door oplichters worden gebruikt om klanten ervan te overtuigen dat hun e-mails echt zijn.

Langetermijnimpact van de gegevensbreuk

De maximale boete voor een bedrijfsgegevensschending onder GDPR is 4 procent van de wereldwijde omzet. In 2017 bedroeg de omzet van BA meer dan £ 12 miljard, dus als het bedrijf met een dergelijke boete werd geraakt, zou dit meer dan £ 480 miljoen kunnen zijn, hoewel de EU nog moet aangeven of de hack tot een boete kan leiden. BA heeft al vergoedingen aangeboden aan klanten die getroffen zijn door het incident, wat aanzienlijke bedragen kan bedragen, vooral omdat veel klanten die BA op de hoogte brachten van het incident niet werden verteld of hun kaartgegevens daadwerkelijk waren gestolen.

Net als bij andere voorbeelden van inbreuken op commerciële gegevens, heeft de eerste rapportage de aandelenkoers van het bedrijf geraakt. De marktwaarde van BA's moedergroep - International Consolidated Airlines Group - was aanvankelijk gedeukt met 3,8 procent. Maar mogelijk is het effect op het klantvertrouwen de grootste schade.

Op dit moment zijn er weinig details vrijgegeven over de methode van de hack. Het kan dus gaan om traditionele hackingmethoden voor het vastleggen van gegevens uit een database. Maar als het gaat om het vastleggen van details over welke toetsen gebruikers op hun toetsenbord hebben ingedrukt, zou dit de basis van onze digitale financiële infrastructuur doen schudden.

Als er iets is dat deze hack laat zien, dan is het dat we in een uiterst fragiele digitale wereld leven en hacks al geruime tijd onopgemerkt kunnen blijven. Dus we moeten financiële transfersystemen bouwen die codering integreren bij elke stap van het proces.

Dit artikel, geschreven door Bill Buchanan van The Cyber ​​Academy, Edinburgh Napier University, werd oorspronkelijk gepubliceerd op The Conversation. Lees het originele artikel.