En granskning som ICO har gjort visar att flygbolaget British Airways har hanterat en mängd personuppgifter på ett icke adekvat sätt. Det handlar om personlig och ekonomisk information om över 400 000 av flygbolagets kunder.

Cyberattack

Under 2018 blev British Airways måltavla för en cyberattack där angriparen antas ha fått tillgång till 429 612 kunders och anställdas personuppgifter. Dessa personuppgifter innefattade namn, adresser, betalkortsnummer och CVV-nummer avseende 244 000 kunder. Flygbolaget upptäckte dock aldrig attacken själv utan en tredje part varnade flygbolaget om det inträffade. När varningen kom hade det gått över två månader sedan cyberattacken hade inträffat.

Brister i IT-säkerhet

Granskningen visar att flygbolaget har haft brister i IT-säkerheten vid tiden för cyberattacken vilket ICO anser borde ha varit identifierad och löst innan attacken inträffade. ICO menar vidare att attacken inte hade varit genomförbar om IT-säkerheten hade varit adekvat. ICO påtalar att det inte är säkert om eller när flygbolaget själva skulle ha identifierat attacken och detta anser de vara ett allvarligt misslyckande.

Attacken kunde ha förhindrats

Det fanns flera åtgärder som kunde ha vidtagits för att mildra eller förhindra attacken, bland annat begränsa åtkomst till applikationer, data och verktyg, genomföra rigorösa tester i form av att simulera en cyberattack på företagets system samt att skydda anställdas- och tredjepartskonton med autentisering på olika sätt.

Läs mer här.