Katalog danych ujawnionych przez systemy komputerowe linii lotniczych był szeroki i objął imiona, daty urodzenia, numery telefonu, dane paszportowe oraz historię podróży.
Cathay Pacific miało problemy z zabezpieczeniem danych od 2014 r. Firma zdała sobie sprawę z problemu w 2018 r. gdy stała się ofiarą ataku hackerskiego. Na skutek zgłoszenia zdarzenia do ICO przeprowadzone zostało dochodzenie, które ujawniło skalę problemu związanego z zabezpieczeniami linii lotniczych. Cathay Pacific posiadało kopie zapasowe nieopatrzone hasłem, wersje systemów operacyjnych nieposiadających już wsparcia deweloperów, serwery niezaktualizowane o najnowsze poprawki, czy nieadekwatne oprogramowanie antywirusowe.
Linie lotnicze nie zrealizowały 4 z 5 wytycznych wystosowanych przez Narodowe Centrum Bezpieczeństwa Cybernetycznego. Szereg niedociągnięć, w tym o charakterze podstawowym wpłynęło na dużą podatność linii na ataki hackerskie. Dodatkowo przez okres 10 lat, mając świadomość występowania konkretnej podatności nie wdrożono poprawki.
Kara 500,000 funtów może wydawać się nieadekwatna, biorąc pod uwagę skalę naruszenia. Niemniej jednak należy pamiętać, że jej wysokość stanowi maksymalny wymiar na gruncie brytyjskiej Ustawy o ochronie danych osobowych z 1998 r., która była stosowana do czasu przyjęcia ogólnego rozporządzenia o ochronie danych (RODO).
Źródło: portal gdpr.pl
