Bilgi Komiserliği Ofisi (ICO) 400.000’den fazla müşterisinin kişisel ve finansal detaylarını koruyamadığı için British Airways’a (BA) 20Mio Sterlin para cezasına karar verdi.

ICO soruşturması ile havayolunun yeterli güvenlik önlemleri alınmaksızın büyük miktarlarda kişisel veri işlediği anlaşılmıştır.  Bu eksiklik, veri koruma kanununu ihlal etmiştir ve ardından, BA 2018’de, iki aydan uzun bir süre tespit edemediği bir siber saldırıya maruz kalmıştır.

ICO soruşturmacıları BA’nın güvenliğindeki bu zayıflıkları tespit etmesi ve o dönemde uygun olan güvenlik önlemlerini alarak bu zayıflığı ortadan kaldırmaları gerektiğini ortaya koymuştur.

Soruşturmacılar, bu güvenlik sorunlarına işaret ederek 2018 yılındaki siber saldırının önlenebilir olduğu sonucuna varmıştır.

Bilgi Komiseri Elizabeth Denham:

“İnsanlar kişisel verileri konusunda BA’ya güvenmiştir ve BA bu verileri güvenli şekilde saklayabilmek için yeterli güvenlik önlemlerini alamamıştır.

Eyleme geçmekteki başarısızlıkları kabul edilemezdir ve yüzbinlerce insan etkilenmiştir, bu da bir sonuç olarak bazı endişe ve sıkıntılara neden olmuş olabilir. Bu nedenle BA aleyhinde – bu tarihe kadar ICO tarafından verilen en yüksek ceza olan- 20mio Sterlin para cezasına karar verilmiştir.

Kuruluşlar kişisel veriler hakkında kötü (zayıf) kararlar aldığında, bu kararların insanların hayatları üzerinde gerçek etkileri olabilir. Kanun artık bize, en son teknoloji güvenliğe yatırım yapmak dahil veri hakkında daha iyi kararlar vermeleri  işletmeleri teşvik edecek araçları sağlamaktadır.”

BA ihlali, Birleşik Krallık’ın Avrupa Birliği’nden ayrılmasından önce Haziran 2018’de olduğundan, GDPR kapsamında AB otoriteleri adına soruşturmayı baş denetim otoritesi sıfatıyla ICO yürütmüştür. GDPR’daki işbirliği süreçleri kapsamında ceza ve alınan aksiyon diğer AB veri koruma kurumları tarafından da onaylanmıştır.

Haziran 2019’da ICO,  para cezası verme niyetini ortaya koyan bir bildirimi BA’ya iletmiştir. Düzenleyici sürecinin bir parçası olarak nihai bir ceza kararı vermeden önce ICO, hem BA’nın beyanlarını hem de COVID-19’un ticari işletme üzerindeki ekonomik etkilerini değerlendirmiştir.

Siber saldırının detayları

Saldırganların potansiyel olarak yaklaşık 429.612 adet müşteri ve personelin kişisel verilerine eriştiğine inanılmaktadır. Buna 244.000 adet BA müşterisine ait isim, adres, ödeme kartı numarası ve CVV (Not: Kart Doğrulama Değeri – Card Verification Value) numarası dahildir.

Erişildiği düşünülen diğer detaylar arasında 77.000 adet müşterinin kart ve CVV numarası bileşimi ile 108.000 adet müşterinin yalnızca kart numarası bulunmaktadır.

BA çalışanı ve yönetici hesaplarının kullanıcı adı ve parolaları ile 612 adede varan BA Executive Club (Not: BA’nın müşteri sadakat programı) hesabı kullanıcı adı ve şifresine de potansiyel olarak erişilmiştir.

Saldırıyı önlemede başarısızlık

BA ağına girebilmesinden önce bir saldırı riski önlemek veya azaltmak adına BA’nın alabileceği sayısız tedbir vardı. Bunlar:

• Uygulama, veri ve araçlara erişimi yalnızca bir kullanıcı rolünü yerine getirmek için gerekli olanlarla sınırlandırma,
• İşletme sistemlerine siber saldırıyı simule eder şekilde, dikkatli testler gerçekleştirmek,
• Çalışan ve üçüncü taraf hesaplarını çok faktörlü kimlik doğrulama ile korumak.

BA tarafından alınabilecek ek hafifletme tedbirleri cezası bildiriminde listelenmiştir.

Bu tedbirlerden bazıları BA tarafından kullanılan Microsoft İşletim Sistemi dahi elde edilebilir olup, hiçbirisi aşırı maliyet ya da teknik engeller gerektirmiyordu.

Saldırıdan bu yana BA BT güvenliğinde dikkate değer iyileştirmeler gerçekleştirmiştir.

Saldırının fark edilmesindeki eksiklik

ICO soruşturmacıları, BA’nın 22 Haziran 2018’de gerçekleşen saldırıyı, saldırıdan iki aydan fazla bir süre geçtikten sonra 5 Eylül’de üçüncü bir kişi tarafından uyarılmalarına değin tespit etmediğini açığa çıkartmıştır. Farkında vardıklarında ise BA derhal harekete geçmiş ve ICO’yu bilgilendirmiştir.

BA’nın kendisi tarafından saldırının tespit edilip edilmediği yahut ne zaman tespit edildiği hususu net değildir. Etkilenen kişi sayısı ve potansiyel açıdan finansal zararların çok daha fazla olabileceğinden hareketle bu önemli bir eksiklik olarak değerlendirilmiştir.

Editörlere Notlar

1. Bilgi Komiserliği Ofisi (ICO) kamu yararı, kamu kurumlarının açıklığını ve bireylerin veri mahremiyetini desteklemek adına bilgi alma hakkını teşvik etmektedir.
2. ICO’nun 2018 tarihli Veri Koruma Kanunu, Genel Veri Koruma Tüzüğü (GDPR), 2000 tarihli Bilgi Özgürlüğü Kanunu, 2004 tarihli Çevresel Bilgi Yönetmeliği ile 2003 tarihli Gizlilik ve Elektronik İletişim Yönetmeliğinde belirlenen belirli sorumlulukları bulunmaktadır.
3. Bu ceza GDPR’ın ihlal edilmesi nedeniyle 2018 tarihli Veri Koruma Kanunu kapsamında verilmiştir.
4. GDPR, kişisel veri işleyen organizasyonların uymak zorunda olduğu altı ilke ortaya koymaktadır. Bunlar: Hukuka uygunluk, dürüstlük ve şeffaflık, amaç sınırlaması, veri minimizasyonu, doğruluk, saklama sınırlaması, güvenlik, hesap verilebilirliktir. Bı ceza BA’nın güvenlik ve hesap verilebilirlik ilkelerini yerine getirmekteki başarısızlığını ele almaktadır.
5. ICO soruşturması BA ile yapılan sayısız teatiyi ve detaylı iddia ile delillerin değerlendirilmesini içermektedir. Cezalandırma süreci BA’ya ceza verme niyetini içeren bir niyet bildirimi gönderilmesini ve beyanlarını sunma şansı sunulmasını da içermektedir.
6. BA, Londra Menkul Kıymetler Borsasına niyet mektubunu bildirmiş ve ICO da bir açıklama ile cevap vermiştir.
7. ICO, ceza vermeden önce dikkate alınan ekonomik etkileri ve karşılanabilirliği hesaba kattığımızı ortaya koyan ICO Düzenleyici Eylem Politikası (DEP) ile birlikte yasal çerçeveyi uygulamıştır. DEP şu anda ICO’nun Yasal Rehberlik Danışmanlığının bir parçası olarak revize edilmektedir.
8. Burada olduğu gibi sınıraşan işlemelerde, GDPR’ın 56. maddesi bir baş denetim otoritesi atanmasını düzenlemektedir. Bu dosyada, ICO baş denetim otoritesi olarak hareket etmiştir.
9. Ceza vermeden önce ICO madde 60’ta yer alan süreci tamamlamıştır. GDPR madde 60 baş denetim otoritesinin diğer denetim otoriteleri ile, uzlaşıya varmak adına işbirliği yapmasını öngörmektedir. Bu, ilgili diğer otoritelerin görüşlerini ve bakış açılarını dikkate almak adına karar taslağını diğer denetim otoritelerine iletmeyi de içermektedir.
10.  Herhangi bir parasal ceza Hazine’nin konsolide bütçesine ödenir, ICO tarafından tutulmaz.
11. Bir endişenizi ICO’ya bildirmek için 0303 123 1113  numaralı yardım hattımızı arayabilir ya da ico.org.uk/concerns adresine gidebilirsiniz.