Storbritanniens informationskommissionär (ICO) har precis tagit ut rekordhöjande 183,39 miljoner pund mot British Airways för en dataintrång 2018.
De har följt upp detta med ytterligare en hisnande enorm böter: Den föreslagna böten på 99,2 miljoner £ är mot hotellkoncernen Marriott Internationals hack från november 2018, som exponerade data från 339 miljoner kunder globalt.
De två böterna är bara den senaste utvecklingen i Europas allmänna dataskyddsförordning (GDPR), och den är nykterande för alla som arbetar inom cybersäkerhet hos ett större företag.
Dessa rekordböter visar att GDPR: s bett verkligen är lika dålig som barken. Nedan förklarar vi allt du behöver veta om hur BA och Marriott bröt mot reglerna.
Vad har British Airways tänkt sig?
Böterna, som kommer runt 229,54 miljoner dollar i amerikanska dollar, är resultatet av British Airways brott mot EU: s allmänna dataskyddsförordning (GDPR), som trädde i kraft den 25 maj 2018.
BA: s dataintrångsincident startade uppenbarligen i juni 2018. Trafiken på British Airways webbplats omdirigerades till en bedrägeri-webbplats som designats av bedragare för att skörda kunddata.
Uppgifterna om cirka 500 000 British Airways-kunder komprometterades. British Airways rapporterade händelsen till ICO i september 2018.
Vad sägs om Marriott’s Fine?
Marriott Internationals berättelse är liknande: Hacket hände i november 2018, långt efter att GDPR var i kraft, och det exponerade personuppgifter från 339 miljoner kunder, inklusive kreditkortsuppgifter, passnummer och födelsedatum.
ICO har uppgett att 30 miljoner av de drabbade kunderna bor i Europeiska ekonomiska samarbetsområdet och 7 miljoner är bosatta i Storbritannien. Kärnfrågan, enligt ICO: s undersökning, härrörde från Starwood-hotellkoncernen, som Marriott förvärvade 2014 men tydligen misslyckades med att korrekt inspektera IT-systemen. Dessa komprometterade system ledde till dataintrång.
Vad är GDPR?
Själv beskriven som “den viktigaste förändringen av dataskyddsregleringen på 20 år”, GDPR är en EU-förordning som är utformad för att modernisera dataskyddsreglerna i en tid då webbanvändare precis börjar vara medvetna om hur djupt deras integritet har äventyrats av datahungriga tekniska jättar.
Bland andra lagar fastställs i GDPR en handfull bestämmelser som styr vilken typ av dataföretag som kan hålla på sina kunder, samt hur lång tid de kan hålla den, vem de delar den med och hur uppgifterna behandlas.
Enligt GDPR-reglerna kan företag som konstaterar att de bryter mot reglerna få böter på 20 miljoner euro, eller 4% av den årliga globala omsättningen – beroende på vilket som är högst. Tittar man på det här sättet, gick British Airways lätt: det kunde ha fått en böter så hög som 500 miljoner pund.
Eftersom GDPR endast har trätt i kraft sedan maj 2018 är detta bland de tidigaste exemplen på en enorm böter som drabbat ett större företag för kränkningar av dataskydd. British Airways-fallet gör det möjligt för ICO att bevisa att det syftar till att tillämpa sin lag ordentligt snarare än att införa en tandlös reglering.
Är British Airways GDPR fin normal?
Är en sådan stor böter den ”nya normalen” i denna värld efter GDPR? Det korta svaret är att vi inte har tillräckligt med data för att säga säkert. Eftersom GPDR är relativt nytt har vi inte haft en chans att fastställa en basjämförelse för hur tungt ett straff på 183,39 miljoner pund är.
Enligt den tidigare EU-lagen, Data Protection Act 1998, var den maximala böten jämförelsevis förlåtande 500 000 £. Så, enligt den definitionen av “normal” är denna nya böter ungefär 366 gånger större.
Senast tjänade Facebooks dataskandal i Cambridge Analytica det maximala böterna på 500 000 £ från ICO. Skulle Facebook ha skärpt sina datastandarder snabbare om de riskerade ett straff många hundra gånger större? Man skulle hoppas.
Om något sätter BA-böterna en ny standard för dataintrångsvärden. Att finjustera ett företag 229 miljoner dollar för att exponera 500 000 kunders data uppgår till cirka 457 dollar per kund. Med denna logik kunde de 143 miljoner människor som drabbats av Equifax-överträdelsen ha resulterat i en böter på 65,35 miljarder dollar enligt en beräkning.
Ändå har vi sett större böter tidigare, om inte enligt GDPR. Tidigare i år gav Europeiska kommissionen Google en hel del böter på 1,7 miljarder dollar för brott mot EU: s antitrustregler.
Vad händer sen?
Precis som Google konsekvent har överklagat sina EU-böter planerar British Airways att överklaga detta. Det har ett 28-dagars fönster för att göra det.
“Vi har för avsikt att vidta alla lämpliga åtgärder för att försvara flygbolagets ställning kraftigt, inklusive att göra eventuella överklaganden”, berättade Willie Walsh, vd för IAG, till BBC.
Alex Cruz, British Airways styrelseordförande och verkställande direktör, tillade vidare att företaget var “förvånad och besviken” över ICO: s upptäckt och sade “British Airways svarade snabbt på en kriminell handling för att stjäla kundernas uppgifter. Vi har inte hittat några bevis för bedrägeri / bedräglig aktivitet på konton kopplade till stölden. Vi ber om ursäkt till våra kunder för eventuella besvär som denna händelse orsakade. ”
Marriott planerar också att överklaga.
Vad som än händer, bör denna händelse uppmuntra cybersäkerhetsexperter att inte lämna något åt slumpen när det gäller att säkra sina kunders data. För dem som inte följer GDPR-standarderna kanske en böter med sex siffror inte är långt borta.
Läs mer av de senaste cybersäkerhetsnyheterna på Tech.co
