Artikel top billede

(Foto: Dan Jensen)

Kendt fly-selskab får millionbøde: Fri adgang i årevis til ni millioner kunders pas, navne og adresser

Der har i årevis været fri adgang for hackere til en lang række personfølsomme data for alle kunderne hos flyselskabet Cathay Pacific, der nu får kæmpebøde i Storbritannien.

500.000 pund eller hvad der svarer til 4,4 millioner kroner. Så meget skal fly-selskabet Cathay Pacific betale i bøde for i årevis at have undladt at sikre milioner af kunders data.

Bøden kommer fra det britiske ICO - Information Commissioners Office - der svarer lidt til det danske Datatilsynet.

Her faldt man i en stikprøve-kontrol over en række alvorlige fejl og mangler i flyselskabets cybersikkerheds-setup.

Blandt andet var beskyttelsen af kundesystemet med data på 9,5 millioner kunder stærkt mangefuldt.

Det har betydet, at vejen har været banet for uautoriseret adgang til de mange millioner kunders data i en årelang periode fra oktober 2014 til maj 2018, hvor den alvorlige sikkerhedsbrist blev opdaget og lukket.

I perioden har hackere og andre således haft adgang til vigtige personlige informationer på de enkelte kunder, som pas-data, navn, fødselsdato, adresser, telefonnummer og rejse-informationer i lange baner.

Ifølge ICO har det alene kunnet ske, fordi Cathay Pacifics backup hverken har været beskyttet af password eller krypteret, mens servere, der har været rettet direkte mod internettet, ikke har været patchet på trods af en kendt sårbarhed. Systemerne har heller haft antivirus, fremgår det.

Cathay Pacific blev først opmærksom på problemet i marts 2018, da den pågældende database blev udsat for et brute force-angreb.

Cathay Pacific beklager fejlen.

“Selskabet vil gerne igen udtrykke sin fortrydelse og undskylde inderligt for denne incident. Vi har investeret betydelige beløb i it-infrastruktur og it-sikkerhed i de seneste tre år [efter fejlen blev opdaget, red] og vil fortsætte med at investere i disse områder,” lyder det i en meddelelse fra Cathay Pacific.

Sagen tog sin begyndelse før GDPR blev indført. Det er grunden til, at bøden ‘kun’ er på en halv million pund, som er den maksimale bøde i den daværende lov, Data Protection Act 1998.

Var det sket efter GDPR, ville bøden sandsynligvis have været markant højere.

Du finder hele afgørelsen fra ICO her.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk IT-sikkerhedsdag 2022 - identificer, beskyt og forsvar

IT-sikkerhedstruslerne mod virksomhederne er i takt med tiden blevet større og værre, fordi virksomhederne er mere end nogensinde før afhængige af data og IT. Det stiller krav til de IT-ansvarlige, der konstant skal tage bestik af det skiftende trusselniveau. Det kræver blandt andet, at it-sikkerhed bliver sat på den strategiske dagsorden i virksomhederne – men hvordan?

25. januar 2022 | Læs mere


Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere






CIO
Sådan tager top-CIO Pernille Geneser livtag med 40 år gamle it-systemer i Stark Group med 10.000 medarbejdere