Кибербезопасность снова попала в заголовки новостей на этой неделе, так как надзорный орган Великобритании заявил, что намерен оштрафовать British Airways (BA) на £ 183,39 млн за нарушения закона о защите данных.
В заявлении для Лондонской фондовой биржи Управление информационной комиссии (ICO) заявило, что планирует оштрафовать национального авиаперевозчика за нарушение «Общих правил защиты данных» (GDPR) в сентябре 2018 года.
Расследование ICO показало, что данные клиентов были украдены после того, как люди, посещающие веб-сайт ВА, были перенаправлены на мошеннический сайт. Предполагается, что атака началась в июне 2018 года, и личные данные приблизительно 500 000 клиентов были скомпрометированы.
«Неудовлетворительные меры безопасности» ВА были подвергнуты критике со стороны ICO после того, как расследование показало, что хакеры получили доступ к логину, платежной карточке, сведениям о бронировании поездки, а также именам и адресам.
Однако представителей бизнеса также предупредили, что они могут не иметь возможности оформить страховку, чтобы покрыть риск таких огромных штрафов.
«Несмотря на то, что многие страхователи могут не знать о деталях, в настоящее время все штрафы по GDPR не могут быть застрахованы в Великобритании по соображениям государственной политики, но позиция до сих пор не до конца ясна», - предупредил Брюс Хепберн, исполнительный директор MacTavish, компании по управлению страхованием.
«Кроме того, очень большие штрафы такого уровня или выше также превысят максимальную сумму страхования, которую большинство компаний могли бы купить на рынке киберстрахования в рамках стандартной структуры полиса».
Хепберн сказал, что киберстрахование «все еще ценно, если его тщательно выьирать».
«Хорошо разработанная программа киберстрахования может покрывать любые штрафы, которые считаются страхуемыми по закону, расходы на защиту (которые могут быть значительными), компенсацию пострадавшим лицам, а также расходы на кризисное управление и поддержку клиентов, которые пострадавшая компания понесет за пределы самого штрафа».
«Но дьявол кроется в деталях киберстрахования, и компании должны понимать, что они покупают, и границы того, что фактически покрывает их страховка. В качестве одного из примеров, киберстрахование может обеспечить широкое покрытие для добровольного уведомления лиц, затронутых утечкой данных, или гораздо более узкое покрытие для уведомления физических лиц только в тех случаях, когда для этого существует строгое юридическое требование».
«Такие различия могут быть критическими, но они часто скрываются в деталях страхового полиса. Поэтому компаниям необходимо тратить время на понимание своих потребностей и обеспечение того, чтобы они покупали правильную страховку, чтобы избежать неожиданностей, если к ним будут предъявляться требования».
Другой комментатор сказал, что размер штрафа BA «должен послужить сигналом тревоги» для других компаний, многие из которых все еще очень уязвимы для кибератак.
«Этим компаниям необходимо действовать сейчас и убедиться, что они используют новейшие технологии для защиты персональных данных своих клиентов», - сказал Ник Уайетт, руководитель отдела исследований и анализа, путешествий и туризма в компании данных GlobalData.
«183 миллиона фунтов стерлингов являются рекордным штрафом и представляют 1,5 % годового оборота компании. Тем не менее, новые законы GDPR допускают штрафы до 4 %, так что это могло бы быть и хуже, особенно если учесть, что в атаке было украдено данных около 500 000 клиентов».
Подготовлено порталом Allinsurance.kz