压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

英國數據保護監管機構——英國信息專員辦公室 (ICO) 本周一（7月8日）宣布稱，他們已經向英國航空公司發出了處罰通知書，罰款總額為 183,390,000 英鎊（約合?2.3 億美元），處罰原因是英國航空公司 (BA) 在 2018 年的數據安全事件中泄露約?50 萬名乘客的私人信息。

該罰款是在歐盟《通用數據保護條例》(GDPR) 的作用下征收的，是迄今為止歐洲出現的最高罰款記錄。在 GDPR 正式生效后的前 9 個月內，歐盟征收的罰款總額為 55,955,871 歐元——其中 5000 萬歐元是法國監管機構 CNIL 針對谷歌進行的單筆罰款金額。

2019 年 1 月 21 日，法國數據監管機構 CNIL 對谷歌處以 5000 萬歐元的高額罰款，因谷歌違反《通用數據保護條例》(GDPR) 的透明性原則、提供充分信息以及針對個性化廣告缺乏數據處理的合法性基礎。具體來說，谷歌違反的行為包括兩項：

1）違反透明性原則（GDPR第12條）和提供充分信息的義務（GDPR第13條）；谷歌的隱私相關描述文件較多，且對于廣告、地理位置等埋于較深的位置，需要用戶多次跳轉，被認定為不易訪問；

2）個性化廣告的處理行為缺乏處理的合法性基礎，即不符合用戶同意的要件（GDPR第6條）。

這是第一個明確的跡象，表明歐洲數據保護監管機構無懼使用GDPR對大型企業 “開刀”。世界各地那些對 GDPR 執行力度仍然抱有幻想的組織也無需繼續觀望了。GDPR 罰款與企業營業額已經有目的地聯系在了一起，因此大型企業不能將數據保護罰款作為其必要運營成本的一部分。

值得注意的是，根據英國特許信息安全專業人員協會 (Chartered Institute of Information Security Professionals) 首席執行官Amanda Finch的說法，23% 的安全專業人士稱（英國航空公司的數據泄露事件）是 2018 年最嚴重的安全事件之一，僅次于 Facebook 和劍橋分析公司的數據泄露丑聞。但是，Facebook 的劍橋分析公司事件卻只被罰款50萬英鎊（約合 430 萬人民幣），當然，那時《通用數據保護條例》還未生效。50 萬英鎊的罰款對于 Facebook 這種規模的公司而言影響并不大；但是此次 1.83 億英鎊的罰款無疑會給英國航空公司的董事會和所有其他公司留下深刻影響。

據悉，英國航空公司于 2018 年 9 月 6 日對外透露稱，其公司網絡已經遭到破壞，網絡犯罪分子可以獲取 8 月 21 日- 9 月 5 日期間在其網站上預定票務的客戶個人和財務詳細信息。而造成此次事故的主要原因是英航的 “安全措施失位”。在該事件中，犯罪分子利用匿名的第三方身份設立了一個釣魚網站，用于接收英航服務器的重定向流量，并以此竊取用戶個人數據，其中包括賬號登錄信息、信用卡信息、客戶姓名、郵政地址、電子郵件地址和行程預訂情況等。

調查發現，此次攻擊背后的犯罪分子是 Magecart 團隊之一。據悉，Magecart 是至少七個網絡威脅組織的總稱，在電子商務網站上搞了很多事，用來收集用戶的信用卡記錄，包括 Ticketmaster，British Airways 和 Newegg 在內的數十個電子商務網站都被該集團攻陷，而且每天的受害者仍然在增加。

多年來一直負責監控 Magecart 團伙的安全公司 RiskIQ 評論說，Magecart 針對英國航空公司網站建立了定制化、有針對性的基礎設施，以盡可能避免被發現。雖然我們可能永遠無法知道攻擊者對英國航空公司服務器的覆蓋范圍有多大，但就他們能夠修改該站點的資源這一事實就可以看出，他們所獲取的訪問權限非常大，而且他們可能在攻擊開始之前很久就已經開始了這種訪問行為。這件事可謂是對面向網絡的資產的脆弱性提出了一個明確的警告。

不過，根據 ICO 的說法，針對英航的攻擊事件應該是從 2018 年 6 月開始的，也就是英航對外公布該事件的 3 個月前。

雖然看起來此次 ICO 的罰款力度很大，但如果完全按照 GDPR 規定進行處罰，結果可能會更糟。根據《通用數據保護條例》(GDPR)，公司必須在發現數據泄露情況后的 72 小時內向相應的歐洲當局進行報告，該條例還規定歐盟集團內的本地數據保護機構可以對發生數據泄露的公司最高處以其年度總收入 4％ 的罰款。英航去年的全球營業額約為 116.9 億英鎊，這意味著擬議的 ICO 罰款僅相當于英航 2017 年總收入的 1.5％ 左右，遠低于最高罰金 4% 或 4.676 億英鎊。

所以，此次罰款可能會為英航帶來一絲痛苦，但卻不至于會對其造成傷害，或者說，不會傷其根本。國際航空集團 (IAG)——愛爾蘭航空、英國航空、伊比利亞航空、Vueling 航空和 LEVEL 航空的母公司——應該也不會受到長期影響，因為罰款仍然僅占其總利潤的 7%。

然而，相比罰款，此次數據泄露事件對英國航空造成的經濟損失要高得多。1.83 億英鎊是該公司未能妥善保護客戶敏感個人數據免受網絡犯罪分子侵害所付出的代價，這還不包括災難恢復或響應數據泄露事件所消耗的實際成本。無所作為的成本減去做了某些舉措的成本就是該公司愿意因為沒有重視網絡安全問題而承受的網絡風險。

ICO 在其聲明中表示，所謂的用戶個人數據，講的就是這些數據的私密性，當一個組織未能保護它免受損失、損壞或被盜時，這為人們帶來的就不是 “不便” 那么簡單了。這也是為什么要對保護用戶個人數據明文規定的原因，當人們將其私密數據委托給某方時，該方有義務確保這些數據的安全。那些沒有保護好用戶個人數據的組織將會面臨我們英國情報局的審查，并交由我們判斷他們是否已采取適當措施保護這些私密數據。

針對此次事件，英國航空公司的首席執行官 Alex Cruz 表示，公司對于此次罰款 “感到驚訝和失望”。他在一份聲明中稱：英國航空公司針對竊取客戶數據的犯罪行為迅速采取了響應行動。我們并沒有發現任何與盜竊活動有關的賬戶發生欺詐行為的證據。

目前，ICO 已經向英國航空公司發出了處罰通知書，要求其支付這項巨額罰款，但是該公司仍有 20 多天的時間可以在 ICO 確認最終罰金之前進行上訴。但是由于涉及的犯罪程度和后續欺詐的實物證據與 GDPR 的要求關系不大，可能并不會對英國航空公司的上訴產生任何影響。

事實上，ICO 給出的這種制裁結果看起來還是相當合適的。在此之前，人們一直懷疑歐洲監管機構會在第一次罰款時做到 “無所不用其極”，以證明 GDPR 需要得到認真對待。對此，ITC Secure 的網絡顧問主管 Malcolm Taylor 評論稱：

總有一種觀點認為，無論是哪家大型企業首次違反了 GDPR 合規性要求，都會被樹立成典型。不過，我認為 ICO 此次對英國航空公司的處罰非常合理，他們在展示了自身的監管權力并給出了適當的懲罰外，也避免了全面否定英國航空的情況（罰款金額僅占營業額 1.5%，而非規定的 4%）。

專家分析稱，造成預期罰款減少的原因可能是英國航空公司選擇在事件發生后與 ICO 合作開展調查，并在此事曝光后對其安全性進行了完善。然而，與此相反，ICO 對此次制裁給出的解釋是：經ICO調查發現，各種信息都是因為 “安全措施失位” 才受到了損害。

ITC Secure的網絡顧問主管 Malcolm Taylor 表示：

這是 ICO 對于 GPPR 罰款做出的第一個恰當示范。安全行業一直在期待看到這一點，但是即便如此，我判斷罰款的大小也讓人感到意外。大多數攻擊者發動攻擊的目的都是為了錢，但是不可否認他們所感受到的（和獲得的）這種不正當的榮譽感也會驅使他們針對大型企業發起攻擊。在 ICO 有史以來最大的罰款背后，攻擊者又獲利多少？

這是企業組織必須面對的新常態，ICO 正在執行他們的任務。這里透露的信息非常明確：它不是一個 “對框打勾” 的問題——它是關于企業隱私的問題。你不能推出一個足夠好，但卻缺乏足夠的隱私或安全性的應用程序。它也不是關于欺詐的直接風險的問題——它是關于持有數據的特權問題，這不再是英國航空公司也不再是任何人的權力，而且違反這種行為就等于侵犯了一類用戶身份的完整性。