La Oficina del Comisionado de Información (ICO, por sus siglas en inglés) ha multado a British Airways con 20 millones de libras esterlinas (22 millones de euros) por no proteger los datos personales y financieros de más de 400.000 clientes, una sanción mucho más baja que la planteada inicialmente, que era de 204 millones de euros.
La investigación llevada a cabo por la ICO descubrió que la aerolínea estaba tratando una cantidad significativa de datos personales sin las medidas de seguridad adecuadas, infringiendo la normativa aplicable de protección de datos personales que, posteriormente, fue objeto de un ciberataque durante 2018 que no se detectó durante más de dos meses.
La Comisionada de información, Elizabeth Denham ha manifestado que “su falta de acción fue inaceptable y afecto a cientos de miles de personas, lo que puede haber causado cierta ansiedad y angustia. Por eso hemos emitido a British Airways una multa de 20 millones de libras, la mayor hasta la fecha”. Asimismo, ha explicado que “cuando las organizaciones toman malas decisiones sobre los datos personales de los interesados, puede tener un impacto real en la vida de las personas. La ley ahora nos brinda herramientas para alentar a las empresas a tomar mejores decisiones sobre los datos, incluida la inversión en seguridad”.
Los atacantes accedieron a datos personales de aproximadamente 429.612 clientes y empleados, incluyendo nombres, direcciones, números de tarjetas de crédito y números CVV de 244.000 clientes de la aerolínea.
Entre las medidas que se podrían haber tomado para mitigar o prevenir el riesgo por parte de British Airways, la ICO enumera las siguientes:
-Limitar el acceso a aplicaciones, datos y herramientas sólo al personal estrictamente necesario.
-Realizar pruebas rigurosas en los sistemas de la empresa en forma de simulación de un ciberataque.
-Proteger las cuentas de empleados y terceros mediante una autenticación multifactor.
Los investigadores de la ICO descubrieron que British Airways no detectó el ataque el 22 de junio de 2018, que fue alertado por un tercero más de dos meses después, el 5 de septiembre. Una vez que la empresa tuvo conocimiento, actuó rápidamente y notificó a la ICO.
Accede a la resolución completa haciendo click en el siguiente enlace:
https://ico.org.uk/media/action-weve-taken/mpns/2618421/ba-penalty-20201016.pdf