国泰航空因2018年披露的数据泄露事件被英国ICO罚款50万英镑

 
国泰航空公司因数据安全漏洞而被英国数据监管机构处以50万英镑的罚款，该安全漏洞暴露了全球约940万客户的个人详细信息，其中111,578名来自英国。
信息专员办公室(ICO)经过数月的调查，今天宣布了这项罚款，这是英国相关法律规定的最高罚款。这与航空公司在2018年秋季披露的违规行为有关。
国泰航空当时表示，它在3月首次发现了对其系统的未经授权的访问，尽管并未解释为何花了六个多月的时间才公开披露该违规行为。
无法保护其系统导致未授权访问乘客的个人详细信息，包括姓名，护照和身份详细信息，出生日期，邮政和电子邮件地址，电话号码和历史旅行信息。
今天的ICO表示，未经授权访问国泰航空系统的最早日期是2014年10月14日。而已知的未经授权访问个人数据的最早日期是2015年2月7日。
监管机构在一份新闻稿中写道：“ ICO发现国泰航空公司的系统是通过连接到互联网的服务器进入的，并安装了恶意软件来收集数据。”并补充说，它在调查过程中发现了“错误目录”，其中包括没有密码保护的文件;未打补丁的面向Internet的服务器;使用开发者不再支持的操作系统;防病毒保护不足。
由于国泰的系统在此次违规中受到损害，英国已将欧盟数据保护框架的更新内容纳入其国家法律，该法律对涉及个人数据的违规行为严格遵守披露要求-要求数据控制者在意识到后72小时内通知国家监管机构违反。
通用数据保护条例(GDPR)还包括更为严厉的罚款制度-罚款额可能高达全球年营业额的4%。
但是，由于未授权访问的时机，ICO将此次违规行为视为先前英国数据保护法规的要求。
根据GDPR，该航空公司可能会面临更大的罚款。
ICO调查总监史蒂夫·埃克斯利(Steve Eckersley)在声明中评论国泰航空的罚款时说：
人们正确地期望，当他们向公司提供其个人详细信息时，这些详细信息将得到保护，以确保他们免受任何潜在的伤害或欺诈。事实并非如此。
鉴于国泰航空系统中基本的安全缺陷数量众多，使得黑客很容易获得访问权限，因此这一漏洞尤其令人担忧。我们发现的多个严重缺陷远远低于预期的标准。从最基本的角度来看，该航空公司未能满足国家网络安全中心的基本网络基本要求中的五分之四。
根据数据保护法，组织必须采取适当的安全措施和健全的程序，以确保尽可能难以渗透计算机系统。
该航空公司重申对数据泄露的遗憾，并表示已采取措施在“数据治理，网络安全和访问控制，教育和员工意识以及事件响应敏捷性方面”提高安全性。
国泰航空在声明中说：“过去三年中，已经在IT基础设施和安全上花费了大量资金，并且将继续在这些领域进行投资。” “我们在调查过程中与ICO和其他相关机构密切合作。我们的调查表明，迄今为止没有证据表明任何个人数据被滥用。但是，我们知道，在当今世界，随着网络攻击者的复杂度不断提高，我们需要并且将继续投资并发展我们的IT安全系统。”
它补充说：“我们将继续与有关当局合作，以证明我们的合规性以及我们对保护个人数据的持续承诺。”
去年夏天，由于安全漏洞，ICO泄露了500,000名客户的数据，对另一家航空公司British Airways处以更高得多的罚款。
在这种情况下，该航空公司面临创纪录的1.839亿英镑罚款-占其2018年总收入的1.5%-因为违规发生的时间是在GDPR生效时发生的。