英国信息专员办公室 (ICO) 刚刚对英国航空公司因 2018 年数据泄露事件处以创纪录的 1.8339 亿英镑罚款。
随后,他们又处以另一项令人惊叹的巨额罚款:拟议的 9920 万英镑罚款是针对酒店集团万豪国际集团 2018 年 11 月的黑客攻击,该事件泄露了全球 3.39 亿客户的数据。
这两项罚款只是欧洲通用数据保护条例 (GDPR) 的最新进展,对于在大公司从事网络安全工作的任何人来说都是一个发人深省的处罚。
这些创纪录的罚款证明 GDPR 的打击确实和它的咆哮一样糟糕。 下面,我们将向您解释有关 BA 和万豪酒店如何违反规定的所有信息。
英国航空因什么被罚款?
罚款,大约是2.2954 亿美元以美元计算,这是英国航空违反欧盟于 2018 年 5 月 25 日生效的《通用数据保护条例》(GDPR)的结果。
英国航空公司的数据泄露事件显然始于 2018 年 6 月。英国航空公司网站上的流量被重新路由到诈骗者设计的欺诈网站,以获取客户数据。
大约 500,000 名英国航空公司客户的数据遭到泄露。 英国航空公司于 2018 年 9 月向 ICO 报告了该事件。
万豪酒店怎么样?
万豪国际集团的故事也类似:这次黑客攻击发生在 2018 年 11 月,当时 GDPR 生效很久之后,泄露了 3.39 亿客户的个人数据,包括信用卡详细信息、护照号码和出生日期。
ICO 表示受影响的客户中有 3000 万居住在欧洲经济区,其中 700 万是英国居民。 根据 ICO 的调查,核心问题源于喜达屋酒店集团,万豪于 2014 年收购了该集团,但显然未能正确检查其 IT 系统。 这些受损的系统导致了数据泄露。
什么是 GDPR?
自称为“20年来数据隐私监管最重要的变化”通用数据保护条例是一项欧盟法规,旨在在网络用户刚刚开始意识到他们的隐私被渴望数据的科技巨头所损害的程度之际修改数据隐私规则。
除其他法律外,GDPR 制定了一些规定,指导公司可以保留其客户的数据类型,以及可以保留这些数据的时间长度、与谁共享数据以及如何处理数据。
根据 GDPR 规则,被发现违反规定的公司可能会被处以 2000 万欧元的罚款,或全球年营业额的 4%,以较高者为准。 从这个角度来看,英国航空公司算是轻松脱身了:它可能会面临高达 5 亿英镑的罚款。
由于 GDPR 仅自2018年5月起施行,这是大公司因侵犯数据隐私而被处以巨额罚款的最早例子之一。 英国航空公司的案例让 ICO 证明其目标是正确执行法律,而不是建立无约束力的监管。
英国航空 GDPR 罚款正常吗?
如此巨额罚款是后 GDPR 世界的“新常态”吗? 简而言之,我们没有足够的数据来确定。 由于 GDPR 相对较新,我们还没有机会对 1.8339 亿英镑的罚款有多重进行基线比较。
根据之前的欧盟法律《1998 年数据保护法》,最高罚款为相对宽松的 50 万英镑。 因此,根据“正常”的定义,这项新罚款大约是原来的 366 倍。
最近,Facebook 的 Cambridge Analytica 数据丑闻导致 ICO 被处以最高 50 万英镑的罚款。 如果 Facebook 冒着数百倍的处罚风险,它会更快地收紧其数据标准吗? 人们会希望。
如果说有什么不同的话,那就是 BA 罚款为数据泄露价值设立了新标准。 一家因泄露 50 万客户数据而被罚款 2.29 亿美元的公司,相当于每个客户约 457 美元。 按照这个逻辑,受 Equifax 数据泄露事件影响的 1.43 亿人可能会被处以 653.5 亿美元的罚款根据一项计算。
尽管如此,我们过去也曾见过更高额的罚款(如果不是根据 GDPR 的话)。 今年早些时候,欧盟委员会对谷歌处以 17 亿美元巨额罚款违反欧盟反垄断规则。
接下来发生什么?
正如谷歌一直对欧盟罚款提出上诉一样,英国航空公司也计划对这一罚款提出上诉。 它有 28 天的时间窗口来执行此操作。
IAG 首席执行官威利·沃尔什 (Willie Walsh) 表示:“我们打算采取一切适当措施,大力捍卫航空公司的立场,包括提出任何必要的上诉。”告诉英国广播公司。
英国航空公司董事长兼首席执行官亚历克斯·克鲁兹进一步补充说,该公司对 ICO 的调查结果感到“惊讶和失望”,并表示“英国航空公司对窃取客户数据的犯罪行为迅速做出了反应。 我们没有发现与盗窃相关的账户存在欺诈/欺诈活动的证据。 对于此次事件给客户带来的任何不便,我们深表歉意。”
万豪也计划上诉。
无论发生什么,这一事件都应该促使网络安全专家在保护客户数据方面不留一丝侥幸。 对于那些未达到 GDPR 标准的企业来说,六位数的罚款可能并不遥远。
在 Tech.co 上阅读更多最新的网络安全新闻
