Misure di sicurezza inadeguate, sanzione da 500mila sterline alla Cathay Pacific Airways
L'Information Commissioner's Office (ICO) ha irrogato una sanzione di 500.000 sterline (pari a circa 577mila euro) alla compagnia aerea Cathay Pacific Airways per non aver protetto adeguatamente i dati personali dei propri clienti tra ottobre 2014 e maggio 2018.
L'autorità del Regno Unito ha dichiarato che le falle dei sistemi informatici della Cathay hanno esposto le informazioni personali di 111.578 residenti inglesi e quelle di altri 9,4 milioni di persone provenienti da altre nazioni.
Come riportato dalla BBC, tali dati includevano nomi, dettagli dei passaporti, date di nascita, numeri di telefono, indirizzi e cronologia dei viaggi.
L'ICO ha spiegato che dalle indagini svolte a seguito di un attacco informatico avvenuto nel marzo del 2018 erano emerse una serie di gravi criticità nei sistemi di sicurezza della Cathay Pacific Airways, tra cui file di backup non protetti da password, server con connessione a internet senza patch aggiornate, sistemi operativi non più supportati dallo sviluppatore, e protezione antivirus inadeguata. Almeno un attacco aveva riguardato un server con una vulnerabilità nota addirittura da 10 anni, la cui correzione non era però mai stata applicata.
Secondo Steve Eckersley, direttore delle indagini dell'ICO, "vi sono state numerose inadeguatezze nei sistemi di sicurezza della Cathay Pacific, le quali hanno consentito un facile accesso agli hacker".
Poichè le violazioni si sono verificate prima dell'entrata in vigore delle nuove regole del GDPR, la sanzione avrebbe potuto essere ben più pesante: infatti sulla base del 4% del fatturato globale annuo, con il Regolamento UE la Cathay Pacific avrebbe rischiato una multa fino a 470 milioni di sterline, ovvero oltre mezzo miliardo di euro.