Πρόστιμο-μαμούθ 20 εκατ. λιρών στην British Airways για μη προστασία προσωπικών δεδομένων των πελατών της

LONDON, ENGLAND - SEPTEMBER 09: British Airways plane taxies after landing at Heathrow's Terminal 5 on September 9, 2019 in London, England. British Airways pilots have begun a 48 hour 'walkout', grounding most of its flights over a dispute about the pay structure of it's pilots. (Photo by Dan Kitwood/Getty Images)

Η βρετανική Αρχή προστασίας προσωπικών δεδομένων (Information Commissioner’s Office, ICO) ανακοίνωσε σήμερα ότι επέβαλε πρόστιμο 20 εκατ. στερλινών στην British Airways (ΒΑ), τη μεγαλύτερη τέτοια ποινή έως σήμερα, για αδυναμία της να προστατεύσει προσωπικά και τα οικονομικά στοιχεία περισσότερων από 400.000 πελατών της, όταν έπεσε θύμα κυβερνοεπίθεσης το 2018. Η ICO ανέφερε ότι οι ερευνητές της διαπίστωσαν πως η BA θα έπρεπε να είχε αναγνωρίσει τις αδυναμίες στο σύστημα ασφαλείας της και να τις είχε αντιμετωπίσει με τα διαθέσιμα τότε μέτρα, ώστε να είχε αποτρέψει την παραβίαση των δεδομένων. «Η αποτυχία της να λάβει μέτρα ήταν απαράδεκτη και επηρέασε εκατοντάδες χιλιάδες πολιτών» κάτι που πιθανόν να προκάλεσε αναστάτωση και άγχος, σημείωσε η Αρχή.

Σε ανακοίνωσή της, η ΒΑ ανέφερε ότι ενημέρωσε τους πελάτες της μόλις αντιλήφθηκε την επίθεση. Το πρόστιμο είναι σημαντικά μικρότερο από το ποσό των 183,4 εκατ. στερλινών που είχε προτείνει πέρυσι η ICO, εν μέρει λόγω της κρίσης που υφίσταται σήμερα ο κλάδος των αεροπορικών εταιρειών εξαιτίας της COVID-19. Παρά ταύτα, η μετοχή της αγγλο-ισπανικής εταιρείας IAG, που είναι η μητρική της BA, υποχώρησε στα χαμηλότερα επίπεδα της σημερινής συνεδρίασης μετά την ανακοίνωση του προστίμου. Τη Δευτέρα, η IAG ανακοίνωσε ότι προχώρησε στην αντικατάσταση του διευθύνοντος συμβούλου της BA Άλεξ Κρουζ, με τον επικεφαλής της Aer Lingus, Σον Ντόιλ.

Η ICO ανέφερε στην ανακοίνωσή της ότι οι ερευνητές της διαπίστωσαν πως η BA δεν αντελήφθη την επίθεση στις 22 Ιουνίου 2018, αλλά ενημερώθηκε από τρίτο μέρος περισσότερο από δύο μήνες αργότερα και συγκεκριμένα στις 5 Σεπτεμβρίου. Πρόσθεσε, επίσης, ότι δεν είναι σαφές αν και πότε θα αντιλαμβανόταν την επίθεση η ίδια η εταιρεία. «Αυτό θεωρήθηκε σοβαρή αδυναμία, λόγω του αριθμού των πολιτών που επηρεάστηκαν και επειδή η όποια πιθανή οικονομική ζημιά θα μπορούσε να είναι πιο σημαντική», σημείωσε η εποπτική Αρχή.