英国航空的罚款,宣称是ICO所判罚的最高记录,不过,这已经远低于ICO原本祭出的1.83亿英镑罚金。
调查显示,黑客可能访问近43万名BA客户与员工的个人资料,包括姓名、地址、支付卡号码,以及24.4万名BA客户的信用卡检查码,再加上BA员工与管理人员的用户名与密码,以及612名BA高层俱乐部的用户名与PIN码。
ICO指出,处理如此大量个人资料的BA缺乏适当的安全机制,才让黑客有机可乘,违反了资料保护法令,此外,黑客是在2018年的6月22日入侵,但BA却是在同年的9月5日才得知,还是第三方通知BA的,若非如此,BA不知道要到什么时候才会发现已被黑客渗透。
ICO认为,BA应该要能发现自己安全上的弱点并加以解决,而且若提前修补,就能避免该次的黑客攻击行动,例如应当要限制只有特定角色才能访问应用程序、资料与工具,或者是应该要在业务系统上以模拟攻击进行测试,也应以多因素认证来保护员工及第三方的账号安全,而且这些措施并不会带来过多的成本,也没有技术上的障碍,有些功能甚至在BA所使用的微软操作系统上就能设置。
ICO针对此案首度宣判的罚款高达1.83亿英镑,是以BA全年营收的1.5%来计算,但在BA提出挑战之后,ICO将罚款调降至2,000万英镑,理由是BA之后的表现良好,以及新冠肺炎疫情的万豪国际,也很有机会不必支付如此昂贵的罚款。Pinsent Masons则建议ICO应该要更务实一些,在未来计算罚款时应该要力求威慑与合理兼具才是。