Duże firmy z wieloletnim stażem postrzegane są jako te godne zaufania. Często z góry zakładamy, że firma której usługi wybieramy, spełnia wszystkie wymagania bezpieczeństwa. Głównie z tego powodu, że ich nieprzestrzeganie byłoby łamaniem prawa, a żaden przedsiębiorca nie chce otrzymywać kar czy zamykać swojego biznesu. Czasami jednak nasze założenia bywają błędne, a dowiadujemy się o tym nawet po kilku latach.

Z taką sytuacją mierzyć musieli się klienci linii lotniczej Cathy Pacific, która w marcu 2020 została ukarana grzywną w wysokości 500 tys. Funtów. Ich dane osobowe nie były odpowiednio chronione przez lata, a dowiedzieli się o tym dopiero, gdy sprawa została przekierowana do Biura Komisarza ds. Informacji (ICO), będącego  odpowiednikiem Urzędu Ochrony Danych Osobowych działającego w Polsce – po trwającym cztery lata postępowaniu wyjaśniającym.

Od października 2014 roku do maja 2018 roku komputery chińskiej linii lotniczej Cathy Pacific’s nie zawierały odpowiedniego oprogramowania, które mogłoby chronić zgromadzone na nich dane osobowe pasażerów. Urządzenia miały zainstalowane niezaktualizowane programy antywirusowe i mało skuteczne programy zabezpieczające, łatwe do złamania przez każdego hakera. Te niedopatrzenia doprowadziły do wycieku 111,578 danych personalnych z Wielkiej Brytani oraz 9.4 miliona z całego świata. Mogły to być między innymi: imiona i nazwiska, paszporty, szczegóły tożsamości, daty urodzin, adresy pocztowe, adresy zamieszkania, maile, numery telefonów oraz historie podróży.

Linie lotnicze zdały sobie sprawę ze swoich wadliwych zabezpieczeń w marcu 2018 roku, głównie przez to, że zaatakowana została ich baza danych metodą „brute force”. Na konta ich klientów zaczęły być wprowadzane liczne hasła czy zdania potwierdzające tożsamość, najprawdopodobniej z nadzieją na ewentualne odgadnięcie któregoś z nich i zalogowanie się. Dopiero wtedy linia lotnicza zdecydowała się zasięgnąć pomocy specjalisty do spraw cyberbezpieczeństwa, który pomógłby im w analizie problemu i zabezpieczeniu.

W ten oto sposób sprawa trafiła do Biura Komisarza ds. Informacji, a problem zaczęto rozpatrywać dokładniej. Odkryto, że do systemu linii lotniczych uzyskiwało się dostęp przez serwer połączony z internetem, na którym zainstalowane było złośliwe oprogramowanie, zbierające dane. Zostały też odkryte liczne błędy, naruszające bezpieczeństwo danych, takie jak: foldery, które nie były zabezpieczane hasłem czy niezaktualizowane albo nieważne programy antywirusowe.

Chociaż w maju 2018 roku działał już nowy, wzmocniony system dotyczący ochrony danych, jednak aplikacja i baza danych obsługująca klientów lini lotniczych nie została migrowana na nowe środowisko. Z powodu tego, że wyciek informacji rozpoczął się już w 2014 roku a skończył w pierwszej połowie 2018, ICO zadecydowało, że Cathy Pacific zostanie poddane karze na podstawie zasad zawartych w 1998 roku. Z pewnością kara okazałaby się bardziej surowa, jeżeli podlegaliby najnowszym zasadom.

Linia lotnicza została obciążona grzywną w wysokości 500 tys. Funtów, głównie z powodu poważnego naruszenia brytyjskiej ustawy o ochronie danych (zasady 7). Mówi ona o tym, że należy podjąć odpowiednie środki techniczne i organizacyjne przeciwko nieuprawnionemu lub niezgodnemu z prawem przetwarzaniu danych osobowych. Tymczasem nie dosyć, że Cathy Pacific takich środków nie miała, to dodatkowo do ich systemu uzyskiwało się dostęp za pomocą VPN’u przez serwer połączony z internetem, gdzie zainstalowane było złośliwe oprogramowanie, zbierające dane.

Chociaż linia lotnicza z siedzibą w Hong Kongu podjęła decyzję o zatrudnieniu do pomocy firmę zajmującą się bezpieczeństwem cybernetycznym, poinformowała osoby, które były bezpośrednio dotknięte katastrofą oraz brała czynny udział w dochodzeniu, nikt nie zaprzeczy, że i tak straciła zaufanie wielu swoich klientów. Naraziła ich na kradzież tożsamości.

„Ludzie słusznie oczekują, że kiedy podają swoje dane personalne firmie, wszystkie detale zostaną odpowiednio zabezpieczone i będą chronione przed potencjalnym naruszeniem i wykradzeniem. W tym przypadku, zupełnie tak to nie wyglądało”. – powiedział dyrektor ICO, Steve Eckersley.

Mówił również o tym, że Cathy Pacific nie wypełniły 4 z 5 podstawowych narodowych zasad cyberbezpieczeństwa: „Zgodnie z prawem o ochronie danych, organizacje muszą mieć odpowiednie środki zabezpieczające oraz solidne procedury, jako zapewnienie, że jakakolwiek próba wykradzenia danych, będzie utrudniona tak bardzo, jak to możliwe”

Zapewne, pomimo starań i grzywny, linia lotnicza Cathy Pacific jeszcze długo będzie pracowała nad odzyskaniem zaufania wśród swoich dotychczasowych klientów. Biorąc jednak pod uwagę, jak długo słabe zabezpieczenia zauważane były jedynie przez hakerów, nie możemy mieć pewności, czy inne linie lotnicze nie praktykują podobnych rozwiązań ochrony danych, a po prostu ICO jeszcze się o tym nie dowiedziało.

Artykuł przygotowany na podstawie informacji zamieszczonych na stronie Informatio Commissioner’s Office http://www.ico.org.uk