ब्रिटिश एयरवेज हैक: यह है कि कैसे कंपनियों को डेटा उल्लंघनों को संभालना नहीं चाहिए

अराजकता ब्रिटिश एयरवेज पर शासन करती है, जहां हैकर्स ने लगभग 380,000 ग्राहक बुकिंग का विवरण चुरा लिया है। अतीत में प्रमुख कंपनियों पर साइबर हमले के लिए कुछ खराब प्रतिक्रियाएं आई हैं, लेकिन एयरलाइन की कार्रवाई, इस मामले में, हाल के इतिहास में सबसे कमजोर में से एक हो सकती है। इसका एक कारण यह हो सकता है कि कंपनियों को अब यूरोपीय संघ द्वारा 72 घंटे के भीतर साइबर हमलों की रिपोर्ट करने की आवश्यकता है, और क्योंकि मौजूदा आपराधिक जांच के कारण जानकारी अभी भी रोक दी जा सकती है।

कंपनी ने मई 2018 में अपने आईटी सिस्टम के भीतर बिजली के मुद्दों का अनुभव करने के बाद, आपको लगता है कि बीए अब कंप्यूटर की घटनाओं का जवाब जल्दी और सुसंगत रूप से देने के लिए होगा। फिर भी यह नवीनतम हैक छूटे हुए अवसरों की एक सूची दिखाता है।

सबसे पहले, हैक दो सप्ताह से अधिक समय तक चलता है, 21 अगस्त और 5 सितंबर के बीच की गई बुकिंग को प्रभावित करता है। हालांकि इसका मतलब यह है कि सभी बीए ग्राहक जोखिम में नहीं हैं - बस उस अवधि के दौरान बुकिंग करने वाले लोग - यह अभी तक स्पष्ट नहीं है वास्तव में जो नकारात्मक रूप से प्रभावित हुए हैं और परिणामस्वरूप वे पैसे खो देंगे या नहीं।

जब अंत में हैक की खोज की गई थी, तो बीए ने शुरू में लिए गए डेटा के वास्तविक दायरे पर पर्याप्त सुसंगत और मजबूत जानकारी प्रदान नहीं की। हैक के बारे में कंपनी का मुख्य कथन उन डेटा को परिभाषित करता है जो शामिल नहीं थे - पासपोर्ट और यात्रा विवरण - लेकिन बैंक कार्ड विवरण शामिल नहीं थे, इसके बजाय ग्राहकों को अपने बैंकों से संपर्क करने की सलाह देते थे। ऐसा लगता है कि बहुत बुरी खबर पर एक सकारात्मक स्पिन लगाने की कोशिश की जा रही है, और इसका मतलब है कि ग्राहकों की संभावित चोरी के बारे में सबसे अधिक चिंतित हैं - उनके कार्ड के विवरण - को उजागर नहीं किया गया था।

बयान के वेब पेज पर अक्सर पूछे जाने वाले प्रश्न अनुभाग में, यह कहा गया है: "नाम, पते और सभी बैंक कार्ड विवरण सभी जोखिम में हैं।" लेकिन इससे हैक का वास्तविक विवरण नहीं दिया गया, जैसे कि सीवीवी। (कार्ड सत्यापन मूल्य) कार्ड के पीछे पाए गए सुरक्षा कोड सामने आए थे, हालांकि बाद में बीए ने मीडिया को यह जानकारी दी। यह बताने के लिए कि बैंक विवरण एन्क्रिप्ट किया गया था या नहीं, अभी भी कई सवालों का जवाब देना बाकी है।

सुरक्षित पक्ष पर होने के लिए, बीए सभी प्रभावित ग्राहकों को अपने कार्ड को रद्द करने की सलाह दे रहा है। इसने शुरुआत में प्रभावित ग्राहकों की संख्या के कारण बैंक फोन लाइनों को बंद कर दिया। दुर्भाग्य से, वर्तमान में, यह स्पष्ट नहीं है कि वास्तव में नकारात्मक रूप से कौन प्रभावित हुआ है। कई ग्राहकों ने पहले ही अपने कार्ड पर धोखाधड़ी की सूचना दी है।

प्रतिक्रिया के घुटने में झटका प्रकृति शायद यूरोपीय संघ के नए सामान्य डेटा संरक्षण विनियमन (GDPR) के कारण था जो कहता है कि इस तरह के डेटा उल्लंघनों को 72 घंटे की खोज के भीतर रिपोर्ट किया जाना चाहिए।

बीए के सीईओ, एलेक्स क्रूज़ ने बीबीसी को बताया कि कंपनी ने बुधवार शाम को हैक की खोज की और गुरुवार रात तक सभी प्रभावित ग्राहकों से संपर्क किया। “पहली बात यह पता लगाना था कि यह कुछ गंभीर था और यह प्रभावित हुआ था या नहीं। जिस पल वास्तविक ग्राहक डेटा से समझौता किया गया था, वह तब था जब हमने अपने ग्राहकों के लिए तत्काल संचार शुरू किया था, ”उन्होंने कहा।

उन्होंने कहा: "हम किसी भी ग्राहक के साथ काम करने के लिए प्रतिबद्ध हैं जो इस हमले से आर्थिक रूप से प्रभावित हुए हैं, और हम उन्हें किसी भी वित्तीय कठिनाई के लिए क्षतिपूर्ति करेंगे जो उन्होंने झेले हैं।"

हमें आभारी होना चाहिए कि जीडीपीआर की बदौलत यह घटना कम से कम जल्दी सार्वजनिक हो गई। क्रेडिट रिपोर्टिंग एजेंसी इक्विफैक्स ने 2017 में अपने डेटा ब्रीच की रिपोर्ट करने के लिए तीन महीने का समय लिया, जिस दौरान अधिकारियों ने कंपनी में शेयर बेचे, हालांकि एक आंतरिक जांच ने उन्हें किसी भी अंदरूनी सूत्र या अनुचित व्यापार की मंजूरी देते हुए कहा कि वे इस घटना से अनजान थे जब उन्होंने बनाया ट्रेडों।

टेलिकॉम फर्म टॉकटॉक के सीईओ डिडो हार्डिंग ने एक सबसे अच्छा उदाहरण दिया कि कैसे डेटा ब्रीच का जवाब नहीं दिया जाता है। 2015 में कंपनी के हैक होने के बाद, हार्डिंग ने टीवी पर यह दिखाया कि ग्राहकों को टॉकटॉक पते से ईमेल पर भरोसा करना चाहिए और जिसमें टॉकटॉक वेबसाइट के माध्यम से लिंक थे। इन्हें अब मानक तकनीक के रूप में समझा जाता है जिसका उपयोग स्कैमर्स द्वारा ग्राहकों को यह समझाने के लिए किया जाता है कि उनके ईमेल वास्तविक हैं।

डेटा ब्रीच का दीर्घकालिक प्रभाव

जीडीपीआर के तहत कंपनी डेटा उल्लंघन के लिए अधिकतम जुर्माना दुनिया भर में कारोबार का 4 प्रतिशत है। 2017 में, बीए का टर्नओवर 12 बिलियन पाउंड से अधिक था, इसलिए यदि कंपनी इस तरह के जुर्माने के साथ £ 480m से अधिक हो सकती है, हालांकि यूरोपीय संघ ने अभी तक कोई संकेत नहीं दिया है कि क्या हैक के लिए जुर्माना हो सकता है। बीए ने पहले से ही घटना से प्रभावित ग्राहकों के लिए मुआवजे की पेशकश की है, जो विशेष रूप से कई ग्राहकों तक पहुंच सकती है, जो कि बीए के घटना से सतर्क थे, उन्हें यह नहीं बताया गया था कि क्या उनके कार्ड के विवरण वास्तव में चोरी हो गए थे।

जैसा कि वाणिज्यिक डेटा उल्लंघनों के अन्य उदाहरणों में है, प्रारंभिक रिपोर्टिंग ने कंपनी के शेयर की कीमत को प्रभावित किया है। बीए के मूल समूह - अंतर्राष्ट्रीय समेकित एयरलाइंस समूह - का बाजार मूल्य शुरुआत में 3.8 प्रतिशत था। लेकिन यह संभवतः ग्राहक विश्वास पर प्रभाव है जो सबसे अधिक नुकसान होगा।

वर्तमान में, हैक के तरीके के आसपास कुछ विवरण जारी किए गए हैं। तो इसमें डेटाबेस से डेटा कैप्चर करने के पारंपरिक हैकिंग के तरीके शामिल हो सकते हैं। लेकिन अगर यह उन ब्योरों को कैप्चर करने में शामिल होता है जो उपयोगकर्ता अपने कीबोर्ड पर दबाते हैं, तो यह हमारे डिजिटल वित्तीय बुनियादी ढांचे की नींव को इसके मूल में हिला देगा।

यदि कोई चीज जो इस हैक को दिखाती है, वह यह है कि हम एक बेहद नाजुक डिजिटल दुनिया में रहते हैं और जहां हैक कुछ समय के लिए चल सकते हैं। इसलिए हमें वित्तीय हस्तांतरण प्रणाली बनाने की आवश्यकता है जो प्रक्रिया के हर एक चरण में एन्क्रिप्शन को एकीकृत करती है।

यह लेख द बिल बुकानन द्वारा साइबर अकादमी से लिखा गया है, एडिनबर्ग नेपियर यूनिवर्सिटी, मूल रूप से वार्तालाप पर प्रकाशित हुआ था। मूल लेख पढ़ें।