Güncelleme Tarihi:
British Airways’e ait site üzerinden sahte site aracılığıyla 500 binden fazla kullanıcıya ait bilgilerin internet korsanlarının eline geçmesinin ardından İngiliz havayoluna rekor para cezası verildi. Havayolu geçtiğimiz yıl yaşanan güvenlik ihlali nedeniyle 183 milyon İngiliz Sterlini cezaya mahkum edildi. Uluslararası Havayolları Grubu’na (IAG) ait British Airways (BA), Bilgi Komisyon Ofisi’nin (ICO) aldığı karar nedeniyle şaşırdıklarını ve hayal kırıklığına uğradıklarını açıkladı. BA tarafından yapılan açıklamada internet korsanlarınca düzenlenen saldırının art niyetli ve profesyonelce olduğu belirtildi.
ICO’nun açıklamasına göre, yeni yönetmelik uyarınca en ağır cezayı İngiliz havayolunun aldığı aktarıldı.
Cezaya sebep olan olay neydi?
Bilgi Komisyon Ofisi’nin (ICO) açıklamasına göre olay, kullanıcıların British Airways’e ait site üzerinden dolandırıcılık amaçlı bir siteye yönlendirilmesiyle başladı. Bu sahte site aracılığıyla 500 binden fazla kullanıcıya ait bilgiler internet korsanlarının eline geçti.
ICO Bilgi Komiseri Elizabeth Denham, “Kişilerin yalnızca kişisel bilgileri, kişisel. Bir kuruluş kendini kayıptan, zarardan veya hırsızlıktan koruyamadığında, bu bir rahatsızlıktan daha fazlasıdır. İşte bu nedenle kanun açık, kişisel bilgiler konusunda güvenildiğinde onları korumak zorundasın. Temel gizlilik haklarını korumak için gerekli adımları atıp atmadıkları, benim bürom tarafından soruşturulmayacak” dedi.
Olay 8 Eylül 2018 tarihinde açığa çıkmıştı. British Airways ilk açıklamasında 380 bin işlemin etkilendiğini, fakat çalınan bilgiler arasında seyahat veya pasaport bilgilerinin bulunmadığını duyurmuştu.
Hangi bilgiler çalındı?
ICO açıklamalarına göre bilgiler geçtiğimiz yılın Haziran ayında çalınmaya başladı. İsim ve adres bilgilerinin yanı sıra giriş şifreleri, ödeme kartı ve biletleme rezervasyon detayları gibi bilgiler yetersiz güvenlik önlemeleri, nedeniyle ele geçirildi.
BA yaptığı ilk açıklamada isim, mail adresi, kredi kartı numarası, son kullanım tarihi ve arka yüzdeki güvenlik numarasının (CVV) da ele geçirilen bilgilerin bulunduğunu ancak CVV kodlarının depolanmadığını keşfettiklerini duyurdu.
Watchdog, BA’nın soruşturma boyunca işbirliği yaptığını ve güvenlik önlemlerini arttırdığını açıkladı.
Yeni kurallar neler
Geçtiğimiz yıl uygulanmaya başlayan Genel Veri Koruma Yönetmeliği (GDPR), son 20 yılda veri güvenliğindeki en büyük sarsıntı oldu. Herhangi bir güvenlik ihlalini bilgi komiserliğine bildirmeyi zorunlu kılan yönetmeliğin uygulanmaya başladığı tarihten itibaren ki en büyük ve kamuya açık cezayı ise British Airways almış oldu. Maksimum cezanın, mali cironun yüzde 4’ü olarak yükselmesine sebep oldu. BA’nın aldığı ceza 2017 yılı cirosunun %1.5’na denk geliyor ki bu da yasanın belirlediği sınırın altında kalıyor. Facebook’un, “Cambridge Data Skandalı” nedeniyle aldığı 500 bin İngiliz Poundu değerindeki ceza British Airways’in aldığı cezaya kadar tarihteki en yüksek ceza tutarıydı.
Sırada ne var
British Airways’in karara itiraz etmek için 28 günü var. IAG Genel Müdürü Willie Walsh, ICO’ya gerekli itirazlarda bulunacağını açıkladı. Walsh “Gerekli tüm çağrıları yaparak, havayolu firmamızın haklarını sonuna kadar savunacağız” dedi.
BA Yönetim Kurulu Başkanı ve Genel Müdürü Alex Cruz, British Airways’in müşterilerinin bilgilerini çalmaya yönelik siber saldırıyı keşfettikleri anda harekete geçtiklerini ve bilgileri çalınan hesaplarla ilgili herhangi bir suç veya dolandırıcılık bulgusu tespit edilemediğinin altını çizdiği açıklamasını mağdurlardan özür dileyerek bitirdi.
Ödenecek ceza nereye gidecek
Ödenecek para cezası, diğer Avrupa veri yetkilileri ile İngiltere maliye dairesine bölüştürülecek. British Airways’dan maddi tazminat talep etmenin tamamen mağdurlara kalmış bir durum olduğu ama şu ana kadar hiç kimsenin böyle bir talepte bulunmadığı açıklandı. Son düzenlemeye göre, olaydan etkilenen Avrupa Birliği vatandaşları ICO’nun bulgularını yorumlama hakkına sahip.