Cathay Pacific recibió una multa de £ 500,000 por parte del regulador de datos del Reino Unido por fallas de seguridad que expusieron los datos personales de unos 9,4 millones de clientes en todo el mundo, de los cuales 111.578 eran del Reino Unido.
La sanción, que es la multa máxima posible según la legislación británica pertinente, era anunciado hoy por la Oficina del Comisionado de Información (ICO), luego de una investigación de varios meses. Se trata de una violación revelada por la aerolínea en otoño de 2018.
En ese momento, Cathay Pacific dijo que había identificado por primera vez el acceso no autorizado a sus sistemas en marzo, aunque no explicó por qué tardó más de seis meses en hacer una divulgación pública de la violación.
La falta de seguridad de sus sistemas resultó en el acceso no autorizado a los datos personales de los pasajeros, incluidos nombres, pasaportes y detalles de identidad, fechas de nacimiento, direcciones postales y de correo electrónico, números de teléfono e información histórica de viaje.
Hoy, el ICO dijo que la primera fecha de acceso no autorizado a los sistemas de Cathay Pacific fue el 14 de octubre de 2014. Mientras que la primera fecha conocida de acceso no autorizado a los datos personales fue el 7 de febrero de 2015.
"El ICO descubrió que los sistemas de Cathay Pacific se ingresaron a través de un servidor conectado a Internet y que se instaló malware para recolectar datos", escribe el regulador en un presione soltar, agregando que encontró "un catálogo de errores" durante la investigación, incluidos los archivos de respaldo que no estaban protegidos con contraseña; servidores sin parche orientados a Internet; uso de sistemas operativos que ya no eran compatibles con el desarrollador; y protección antivirus inadecuada.
Desde que los sistemas de Cathay se vieron comprometidos en esta violación, el Reino Unido ha transpuesto una actualización al Unión Europea El marco de protección de datos en su legislación nacional que cumple con los estrictos requisitos de divulgación para las infracciones que involucran datos personales, lo que requiere que los controladores de datos informen a los reguladores nacionales dentro de las 72 horas posteriores a la toma de conciencia de una infracción.
El Reglamento General de Protección de Datos (RGPD) también incluye un régimen de sanciones mucho más sustancial, con multas que pueden escalar hasta el 4% de la facturación anual global.
Sin embargo, debido al momento del acceso no autorizado, la ICO ha tratado esta violación como si estuviera bajo la legislación de protección de datos del Reino Unido anterior.
Bajo el RGPD, la aerolínea probablemente habría enfrentado una multa sustancialmente mayor.
Al comentar sobre la pena de Cathay Pacific en un comunicado, Steve Eckersley, director de investigaciones de la OIC, dijo:
Las personas esperan con razón, cuando proporcionan sus datos personales a una empresa, que esos datos se mantendrán seguros para garantizar que estén protegidos de cualquier daño potencial o fraude. Ese simplemente no fue el caso aquí.
Esta violación fue particularmente preocupante dado el número de deficiencias básicas de seguridad en todo el sistema de Cathay Pacific, que dio fácil acceso a los piratas informáticos. Las múltiples deficiencias graves que encontramos cayeron muy por debajo del estándar esperado. En su forma más básica, la aerolínea no pudo satisfacer cuatro de cinco de las orientaciones básicas de Cyber Essentials del Centro Nacional de Seguridad Cibernética.
Según la ley de protección de datos, las organizaciones deben tener medidas de seguridad apropiadas y procedimientos sólidos para garantizar que cualquier intento de infiltrarse en los sistemas informáticos sea lo más difícil posible.
Al buscar comentarios, la aerolínea reiteró su pesar por la violación de datos y dijo que ha tomado medidas para mejorar su seguridad "en las áreas de gobernanza de datos, seguridad de redes y control de acceso, educación y conciencia de los empleados, y agilidad de respuesta a incidentes".
"Se han gastado cantidades sustanciales en infraestructura y seguridad de TI en los últimos tres años y la inversión en estas áreas continuará", dijo Cathay Pacific en el comunicado. "Hemos cooperado estrechamente con el ICO y otras autoridades relevantes en sus investigaciones. Nuestra investigación revela que no hay evidencia de que ningún dato personal haya sido mal utilizado hasta la fecha. Sin embargo, somos conscientes de que en el mundo de hoy, a medida que aumenta la sofisticación de los ciberatacantes, necesitamos y seguiremos invirtiendo y evolucionando nuestros sistemas de seguridad de TI ".
"Continuaremos cooperando con las autoridades pertinentes para demostrar nuestro cumplimiento y nuestro compromiso continuo de proteger los datos personales", agregó.
El verano pasado la ICO abofeteó a otra aerolínea, British Airways, con una multa mucho más sustancial por una violación que filtró datos sobre 500,000 clientes, también como resultado de fallas de seguridad.
En ese caso, la aerolínea enfrentó una multa récord de £ 183.39M, que totaliza el 1.5% de sus ingresos totales para 2018, ya que el momento de la violación ocurrió cuando se aplicó el GDPR.