Theo TechCrunch, án phạt này là mức tối đa theo luật pháp của Vương quốc Anh, đã được Cao ủy thông tin Anh (ICO) công bố sau một cuộc điều tra kéo dài nhiều tháng. Nó liên quan đến một vi phạm dữ liệu của hãng hàng không này vào mùa thu năm 2018. Vào thời điểm đó, Cathay Pacific cho biết họ đã xác định được các truy cập trái phép vào hệ thống của mình vào tháng 3, và mất hơn sáu tháng để công bố sự cố vi phạm dữ liệu.
Việc không bảo mật hệ thống đã dẫn đến việc truy cập trái phép vào các thông tin của khách hàng gồm họ tên, hộ chiếu, chi tiết nhận dạng, ngày sinh, địa chỉ bưu điện và email, số điện thoại và thông tin lịch sử du lịch,…
ICO cho biết họ điều tra được lần đầu tiên có truy cập trái phép vào các hệ thống Cathay Pacific là ngày 14.10.2014. Trong khi ngày đầu tiên được biết đến khi có quyền truy cập trái phép vào dữ liệu cá nhân là ngày 07.02.2015. Dựa vào thời gian truy cập trái phép, ICO đã coi vi phạm này thuộc luật bảo vệ dữ liệu trước đây của Anh mà không tính đến quy định bảo vệ dữ liệu chung (GDPR) với chế độ hình phạt đáng kể lớn hơn nhiều, với các khoản tiền phạt có thể lên tới 4% doanh thu hàng năm.
Nhận xét về hình phạt dành cho Cathay Pacific, Steve Eckersley - giám đốc điều tra của ICO cho biết “vi phạm này đặc biệt liên quan đến số lượng các bảo mật cơ bản trong hệ thống của Cathay Pacific giúp các tin tặc dễ dàng truy cập. Nhiều thiếu sót nghiêm trọng mà chúng tôi thấy nằm dưới mức tiêu chuẩn. Ở mức cơ bản nhất, hãng hàng không cũng không thể đáp ứng được 4/5 các hướng dẫn về an ninh cơ bản của trung tâm an ninh mạng quốc gia.”
Về phần mình, Cathay Pacific nhắc lại sự hối tiếc về vi phạm dữ liệu và cho biết họ đã thực hiện các bước để tăng cường bảo mật trong các khía cạnh về quản trị dữ liệu, an ninh mạng và kiểm soát truy cập, giáo dục và nhận thức của nhân viên cũng như phản ứng nhanh với sự cố.
Người phát ngôn công ty cho biết “số tiền đáng kể đã được chi ra cho cơ sở hạ tầng và bảo mật CNTT trong ba năm qua và đầu tư vào các lĩnh vực này sẽ tiếp tục. Chúng tôi đã hợp tác chặt chẽ với ICO và các cơ quan chức năng khác trong các cuộc điều tra của họ. Điều tra của chúng tôi cho thấy rằng không có bằng chứng về bất kỳ dữ liệu cá nhân nào bị lạm dụng cho đến nay. Tuy nhiên, chúng tôi biết rằng trong thế giới ngày nay khi sự tinh vi của những kẻ tấn công mạng tiếp tục gia tăng, chúng tôi cần và sẽ tiếp tục đầu tư và phát triển các hệ thống bảo mật CNTT của mình. Chúng tôi sẽ tiếp tục hợp tác với các cơ quan để chứng minh sự tuân thủ và cam kết liên tục của chúng tôi trong việc bảo vệ dữ liệu cá nhân.”
Mùa hè năm ngoái, British Airways cũng đã bị ICO răn đe đối với vi phạm làm rò rỉ dữ liệu của 500.000 khách hàng. Trong trường hợp đó, hãng hàng không phải đối mặt với mức phạt kỷ lục là 183,39 triệu bảng, tổng cộng 1,5% tổng doanh thu trong năm 2018 vì thời điểm vi phạm xảy ra khi đã áp dụng đạo luật GDPR.
Bình luận (0)