国泰航空因安全隐患而被英国数据监管机构处以50万英镑的罚款，该安全隐患暴露了全球约940万客户的个人详细信息，其中111,578名来自英国。

在经过数月的调查后，信息专员办公室（ICO）今天宣布了这项惩罚，这是根据英国相关法律可能的最高罚款。这与航空公司在2018年秋季披露的违规行为有关。

国泰航空当时表示，它在3月首次发现了对其系统的未经授权的访问，尽管并未解释为何花了六个多月的时间才公开披露该违规行为。

无法保护其系统导致未授权访问乘客的个人详细信息，包括姓名，护照和身份详细信息，出生日期，邮政和电子邮件地址，电话号码和历史旅行信息。

今天的ICO表示，未经授权访问国泰航空系统的最早日期是2014年10月14日。而已知的未经授权访问个人数据的最早日期是2015年2月7日。

监管机构在一份新闻稿中写道：“ ICO发现国泰航空公司的系统是通过连接到互联网的服务器进入的，并且安装了恶意软件以收集数据。”并补充说，在调查过程中发现了“错误目录”，包括没有密码保护的文件；未打补丁的面向Internet的服务器；使用开发者不再支持的操作系统；防病毒保护不足。

由于国泰的系统在这次违规中受到损害，因此英国已对欧盟的系统进行了更新 数据保护的框架纳入其国家法律，该框架对涉及个人数据的违规行为严格遵守披露要求-要求数据控制者在意识到违规行为后72小时内通知国家监管机构。

通用数据保护条例（GDPR）还包括更为严厉的罚款制度-罚款额可能高达全球年营业额的4％。

但是，由于未授权访问的时机，ICO将此次违规行为视为先前英国数据保护法规的要求。

根据GDPR，该航空公司可能会面临更大的罚款。

ICO调查总监史蒂夫·埃克斯利（Steve Eckersley）在一份声明中评论国泰航空的罚款时说：

人们正确地期望，当他们向公司提供其个人详细信息时，这些详细信息将得到保护，以确保他们免受任何潜在的伤害或欺诈。事实并非如此。

鉴于国泰航空系统中的基本安全缺陷数量众多，这使得与黑客的接触更加容易，因此这一漏洞尤其令人担忧。我们发现的多个严重缺陷远远低于预期的标准。从最基本的角度来看，该航空公司未能满足国家网络安全中心基本网络基本要求的五分之四。

根据数据保护法，组织必须采取适当的安全措施和健全的程序，以确保尽可能难以渗透计算机系统。

该航空公司重申了对数据泄露的遗憾，并表示已采取措施“在数据治理、网络安全和访问控制，教育和员工意识以及事件响应敏捷性方面”提高其安全性。

国泰航空在声明中说：“过去三年中，已经在IT基础设施和安全上花费了大量资金，并且将继续在这些领域进行投资。” “我们在调查过程中与ICO和其他相关机构密切合作。我们的调查表明，迄今为止没有证据表明任何个人数据被滥用。但是，我们知道，在当今世界，随着网络攻击者的复杂度不断提高，我们需要并且将继续投资并发展我们的IT安全系统。”

它补充说：“我们将继续与有关当局合作，以证明我们的合规性以及我们对保护个人数据的持续承诺。”

去年夏天，由于安全漏洞，ICO泄露了500,000名客户的数据，对另一家航空公司British Airways处以更高得多的罚款。

在这种情况下，该航空公司面临创纪录的1.839亿英镑罚款-占其2018年总收入的1.5％-因为违规发生的时间是在GDPR生效时发生的。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 可持续增长需要强大的网络安全：原因如下

• SafeNet eToken 5110系列USB Token（U盾）

• 应选择哪些 MFA 方法以实现 PCI DSS 4.0 合规性？

• 如何预防和防范供应链攻击

• 通过检测身份认证器设备上的风险来增强您的安全状况