ITanalyze

به گزارش دفتر کمیسر اطلاعات انگلیسی (ICO)، خطوط هوایی بریتانیا به دلیل نشتی اطلاعاتِ سال گذشته ملزم به پرداخت جریمه‌ی 183 میلیون پوندی می‌شود. شاید بد نباشد بدانید فیسبوک برای همکاری با کمبریج آنالیتیکا در سوءاستفاده از اطلاعات کاربری تا به حال صدها بار توسط اتحادیه‌ی اروپا ملزم به پرداخت جریمه شده است. با ما در این مقاله همراه شوید تا ببینیم ایرادِ کار کجا بوده و چرا باید پیش از هر چیزی به حفاظت اطلاعاتیِ امور فکر کرد.

نشتی اطلاعات خطوط هوایی بریتانیا- ایرادِ کار کجا بود؟

پاییز سال گذشته خطوط هوایی بریتانیا گزارش دادند که از تاریخ 21 آگوست تا 5 سپتامبر، مهاجمین خارجی به اطلاعات کاربرانی که از طریق اپ موبایل یا وبسایت ایت شرکت بلیت خریده بودند یا بلیت‌شان را عوض کردند دسترسی داشتند. مهاجمین سایبری از چیزی حدود 500 هزار مشتری اطلاعات دزدیدند. این اطلاعات شامل هر چیزی که مشتریان در فیلدهای فرم آنلاین وارد کرده بودند می‌شد: نام کاربری، رمزعبور، اسم و آدرس، اطلاعات کارت بانکی مثل کد CVC و غیره.

به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ نتیجه‌ی بررسی‌ها و تحقیقات این شد که خطوط هوایی بریتانیا توسط گروه مجرمین سایبری به نام Magecart مورد حمله قرار گرفته بودند. این گروه معروف است به تزریق اسکریپت‌های آلوده به وبسایت‌های تجارت الکترونیک به منظور سرقت اطلاعات مالی. خوب حمله به خطوط هوایی بریتانیا هم از این قاعده مستثنی نبود- مهاجمین وبسایت این شرکت را آلوده کردند. کاربران اپ موبایل تنها به این دلیل مبتلا شدند چون برخی کارایی‌های اپ مستقیماً از وبسایت لود می‌شد.

جریمه‌ی  GDPR[1]

گرچه خطوط هوایی بریتانیا این اتفاق را به موقع گزارش دادند و به تحقیقات کمک بسیاری کردند اما باز هم این شرکت باید جریمه‌ی خود را پرداخت می‌کرد. بر اساس قوانین و قرائن GDPR، شرکتی که کارش پردازش اطلاعات شخصی شهروندان اروپایی است باید تمام قوای خود را برای تضمین امنیت اطلاعاتی بگذارد. وبسایت این شرکت (بر اساس یافته‌های این تحقیق) به حد کافی تحت حفاظت اطلاعاتی نبوده است. بعد از این واقعه، کریر طبیعتاً شروع کرد به انجام اقدامات دفاعی اما اینها هیچکدام توجیهی برای قصور آن نمی‌شود.

فیسبوک -که اطلاعات حدود 87 میلیون کاربر را نشت کرد- تنها با جریمه‌ی 500 هزار پوندی در اروپا ملزم شد. بر اساس قانون حفاظت از اطلاعات پیش از GDPR سال 1998، این مبلغ بالاترین حد برای جریمه بود.

هزینه‌‌های امنیتی ارزان‌تر از جریمه‌های بالقوه درمی‌آید  

جریمه‌ی بالقوه‌ی خطوط هوایی بریتانیا مربوط به نشتی اطلاعات سال گذشته‌تغییر دادنی نیست. اقدامات مناسب امنیتی و جلوگیری از چنین وقایعی خیلی کمتر از جریمه‌های ناشی از نشتی‌های اطلاعاتی هزینه برمی‌دارد. اگر کسب و کارتان به پردازش اطلاعات شخصی کاربران اروپایی مربوط می‌شود -خصوصاً اطلاعاتی مانند جزئیات پرداختی‌های بانکی- توصیه می‌کنیم پیش از اینکه مجبور به پرداخت جریمه‌های سنگین شوید با هزینه‌ی بسیار کمتری نسبت به پیشگیری نشت اطلاعاتی اقدام نمایید.

امنیت انحصاری برای تجارت‌های الکترونیکی یا سرویس‌های بانکداری آنلاین -که باید حواسشان به شدت به حفاظت از وبسایت‌شان در مقابل اسکریپت‌های آنلاین مخرب باشد- بسیار حایز اهمیت است. ما در پلت‌فرم Kaspersky Fraud Prevention خود راه‌حلی به نام Automated Fraud Analytics گنجانده‌ایم که به شما اجازه می‌دهد رویدادهای یک وب‌پیج را در طول جلسه‌ی کاربری مورد تحلیل قرار دهید. این راه‌حل در حقیقت می‌تواند تهدیدهای آنلاین مختلف را شناسایی کند (از جمله تزریق‌های مخرب اسکریپت).

[1]مقررات عمومی حفاظت از داده اتحادیه اروپا

منبع: کسپرسکی آنلاین