British Airways hack: varför rekordstora böter på 183 miljoner pund kunde ha varit mycket större
Flygbolags dataintrång var det första stora fallet enligt nya GDPR-regler
Pascal Pavani/AFP/Getty Images
British Airways har dömts till böter på 183 miljoner pund för ett stort säkerhetsbrott förra året - den största straff som någonsin utdelats av UK Information Commissioner's Office (ICO).
Flygbolaget säger att de är förvånade och besvikna över beslutet och planerar att överklaga.
Men experter påpekar att tillsynsmyndigheten kunde ha dömt BA med böter på totalt mer än det dubbla beloppet, enligt den europeiska allmänna dataskyddsförordningen (GDPR). Så vilka är de nya reglerna och varför var detta fall så betydelsefullt?
Vad hände i BA-hacket?
Den 6 september meddelade flygbolaget att tiotusentals kunders personliga uppgifter och betalningsuppgifter hade stulits under ett dataintrång.
Uppgifter om betalkort, inklusive nummer, utgångsdatum och tresiffrig säkerhetskod eller 'kortverifieringsvärde' (CVV) extraherades olagligt från bokningssystemet, rapporterar Den självständiga .
BA sa att hackare hade utfört en sofistikerad, illvillig kriminell attack, som äventyrade 382 000 transaktioner som utfördes på deras webbplats och app mellan 21 augusti och 5 september. Polisen och berörda myndigheter hade underrättats, tillade företaget.
BA-chefer ber om ursäkt till de drabbade och sa att intrånget hade lösts och att stulna data inte inkluderade rese- eller passdetaljer. Företaget hade börjat kontakta kunder i samma ögonblick som intrånget upptäcktes, tillade flygbolaget.
ICO den här veckan sa att användare av webbplatsen hade omdirigerats till en bedräglig webbplats, där uppgifter om cirka 500 000 personer skördades.
Efter tillkännagivandet av böterna sa BA-ordförande Alex Cruz på måndagen: British Airways reagerade snabbt på en kriminell handling för att stjäla kunders data. Vi har inte hittat några bevis för bedrägeri/bedräglig aktivitet på konton kopplade till stölden.
Var kommer GDPR in?
BA-böterna är den första som offentliggörs enligt de nya reglerna, som trädde i kraft i maj 2018 i den största omvälvningen av datasekretess på 20 år, säger BBC .
Hittills har den största straffavgiften varit £500 000, som ålagts Facebook för dess roll i Cambridge Analytica-dataskandalen. Det var det högsta tillåtna enligt de gamla dataskyddsreglerna som gällde före GDPR, säger programföretaget.
De nya reglerna tillåter en maximal straffavgift på 4 % av den skyldiges omsättning – vilket för BA skulle ha uppgått till 488 miljoner pund. Istället uppgår straffen till 1,5 % av flygbolagets omsättning 2017 och är betydligt lägre än maxvärdet på 488 miljoner pund.
Fallet har väckt stort intresse som det första i sitt slag, som cybersäkerhetsjournalisten Kate O'Flaherty noterade i en artikel för Forbes september förra året.
Ian Thornton-Trump, en veteran inom cybersäkerhetsbranschen, sa till O'Flaherty att det skulle vara ett tufft beslut för ICO. Alla vill att GDPR ska ha tänder så ICO måste hitta rätt balans här, förklarade han.
BA-intrånget var inte lika illa som vissa andra nya hacks, som det som drabbats av Equifax 2017 , och de högsta böterna kan pressa BA till insolvenspunkten, tillade Thornton-Trump.
Han förutspådde böter i intervallet £5 till £10 miljoner och tillägger: Det är betydande men det sätter inte företaget i fara och är inte 'för politiskt'.
Willie Walsh, verkställande direktör för International Consolidated Airlines Group (IAG), BA:s moderbolag, protesterade mot böterna på 183 miljoner pund som tillkännagavs denna vecka: Vi avser att vidta alla lämpliga åtgärder för att kraftfullt försvara flygbolagets position, inklusive att göra alla nödvändiga överklaganden .
