英國航空公司事件經過
2018年6月起英國航空(British Airways)的公司網站發生了顧客數據洩露事件,9月向專門負責資料保護的英國資訊專員辦公室(Information Commissioners’ Office,ICO)通報該數據洩露事件。
在該事件中,用戶流量被移轉到虛假網站,攻擊者透過虛假網站收集了客戶詳細個人資料和信息,如姓名、住址、郵箱,銀行卡信息以及信用卡號碼、有效期和背面的驗證碼(CVV)等。當中約 50 萬名英航乘客受害,他們的個人資料和信息,甚至連旅遊資料都被一一洩露。事件發生後,英國航空公司配合 ICO 調查並整頓自身的安全系統,獲得向 ICO 提出有關擬議調查結果和制裁的陳述機會,ICO作為牽頭監督機構,代表其他歐盟成員國數據保護機構調查此案件。
根據GDRP 第32條細則,企業應考慮到其現有技術、實施成本和處理的類型、範圍、情況和目的以及自然人權利和自由的不同發生概率和風險的嚴重程度,控制者和處理者採取適當的技術和組織措施,以確保與風險相適應的保護水平;這些措施可能包括但不限於
(1)個人數據的假名化和加密;
(2)長期確保與處理相關的系統和服務的機密性、完整性、可用性和彈性的能力;
(3)在發生物理或技術事件時,能夠快速恢復個人數據的可用性和訪問權限;
(4)對技術和組織措施的有效性進行定期審查、評估和評價的程序,以確保處理的安全性,
而從此事件亦可以看見英國航空公司缺乏保障信息安全的技術和組織措施,因此ICO擬對英國航空作出2.04億歐元的罰款決定 。
網絡加工安全的重要
網絡安全基本可分成三個方面:機密性(Confidentiality),完整性(Integrity),可用性(Availability) 。加工安全如點對點加密、多重要素驗證(multifactor authentication)、端點偵測(endpoint detection)則可以鞏固網絡安全以上三方面的基礎,防止敏感資料洩露、企業數據受污染、偽造交易、系統被黑客入侵、身份被仿冒以及避免企業受到散式阻斷服務和勒索軟件影響,導致系統服務終斷或數據被破壞。 有關其他網絡安全的訊息歡迎瀏覽StormEye的網頁了解詳情,如果有任何GDPR的問題亦歡迎聯絡我們。