摘要
2018年下半年,英国航空第三方供应商的账户信息被窃取,导致英国航空发生大规模个人信息泄露事件,数十万名英国航空的客户和员工受到影响。2019年7月,英国信息专员办公室(ICO)初步计划对英航处以1.83亿英镑的罚款。2020年10月16日,ICO正式发布处罚通知,认为英国航空未能保护超40万客户的个人信息及财务信息,结合英航的书面陈述材料和新型冠状病毒疫情对其经济状况的影响,最终宣布根据欧盟《通用数据保护条例》对英国航空处以2000万英镑的罚款。
一、英国航空信息泄露事件
(一)事件概述
2018年6月22日至9月5日,攻击者通过盗用英国航空(以下简称“英航”)第三方货运服务商的远程登录账号,进入英航内部系统并获得了访问权限,攻击者篡改了英航官网的脚本代码,将英航客户信息从“britishairways.com”网站传输到其所控制的外部第三方域名网站“www.BAways.com”上。遭受长达两个月的网络攻击后,英航才从第三方处获知此次攻击事件的发生。
据调查,恶意攻击者大约访问了429,612个客户的个人信息。包括244,000名旅客的姓名、地址、卡号和CVV码(信用卡安全码);77,000名旅客的卡号和CVV码;108,000名旅客的卡号;英航员工账号和管理员账号的用户名及密码;至少612个英航会员俱乐部的用户名及密码。
(二)调查过程
英航于2018年9月6日向英国监管机构信息专员办公室(以下简称“ICO”)报告了此次信息泄露事件,ICO随即启动调查,要求英航提供相关文件与证据。2019年7月4日ICO发出意向通知书,表示初步计划对英航处以1.83亿英镑的罚款。2019年9月5日至2020年1月31日,英航先后向ICO递交了两份正式书面陈述材料,回答了ICO提出的一系列问题,双方还就延缓做出正式处罚决定达成了一致。
2020年5月,英航应ICO要求就新冠疫情对其财政的影响提供了第三份正式书面陈述材料。英航和ICO一致同意将做出正式处罚的法定期限延长至2020年9月30日,最终ICO结合案件事实和英航提交的书面陈述材料,同时考虑新冠疫情对英航的影响,最终决定罚款金额为2000万英镑。
(三)事件的原因
1.初始攻击
通过英航的远程登录系统可以访问一些英航内部的IT应用,这样经授权的英航用户可以在办公室以外登录和使用这些应用。英航向一家第三方货运服务提供商“Swissport”的员工提供的远程登录账号被攻击者获得,英航无法确认攻击者是如何获得登录账号的,但是英航确认攻击者入侵了与Swissport相关的五个账号,这些账号都没有采取多因素验证策略。在2018年6月22日至9月5日,攻击者能够不断访问英航信息系统而未被发现。
2.突破远程登录系统限制
利用Swissport账号,攻击者可以访问一系列英航的应用,这些应用与Swissport向英航提供的服务有关。但是,攻击者在这以后成功地突破了远程登录系统的限制,访问了其他未授权给Swissport员工的网络。
攻击者成功地将大量工具从外部网络复制进入远程登录系统环境中,然后用这些工具进行网络侦察。
3.提升权限
通过侦察,攻击者获得了一份包含特权域管理员账户用户名和密码的文件,该账户信息在服务器的一个未加密的文件夹中。通过特权域管理员账户,攻击者获得了对相关域的无限制访问权限。
2018年6月26日,攻击者获得了一个数据库系统管理员的用户名和密码。
4.个人信息泄露
利用窃取的用户名和密码,攻击者尝试登录了多个英航服务器,2018年7月26日,攻击者访问了未经加密的日志文件,其中包含了涉及积分兑换交易的支付卡信息。
2018年8月,攻击者成功将支付卡信息从英航网站复制和转移到一个由其控制的网站“BAways.com”,消费者在英航网站输入支付卡信息后,在不影响英航正常预订和支付流程的情况下,一份副本会自动发送给攻击者。
在2018年9月5日,第三方告知英航“britishairways.com”网站上的数据正被传输到“BAways.com”网站上。英航在90分钟内修改了恶意代码,修补了漏洞。二十分钟后,英航阻断了通向“BAways.com”的网页链接。
(四)英航的应对
2018年9月6日,英航向ICO报告了此次事件,履行了告知义务,同时向汇入行、支付系统以及496,636名受影响的客户告知了此次泄露事件,后又通知了另外39,480名受影响的客户。2018年9月5日以后,英航实施了更多的技术措施,包括使用一个名为“Crowdstrike Falcon”的新一代反病毒端点侦测和反应工具。
二、法律适用与罚款金额的确定
(一)法律适用
英航信息泄露事件发生在2018年6月22日至9月5日,是在欧盟《通用数据保护条例》(以下简称“GDPR”)生效之后、英国脱欧之前,因此ICO认为对英航信息泄露事件的处理应适用GDPR。GDPR在欧盟范围内创立了“一站式”监管合作机制,由数据控制者(本事件中即指英航)主要营业场所所在地的监管机构作为“主要监管机构”。ICO是英国个人信息保护监管机构,因此ICO作为“主要监管机构”对英航信息泄露事件开展调查,正式的处罚决定通过GDPR合作程序得到了其他欧盟监管机构的批准。
值得注意的是,英国已于2020年1月31日正式“脱欧”,目前欧英关系处于过渡期,双方着手开展贸易谈判。过渡期将在2020年12月31日结束,ICO表示在过渡期内GDPR仍然适用。
ICO认为英航违反了GDPR第五条(1)(f)和第三十二条的规定,ICO指出英航在其信息系统中存储和处理个人信息,包括英航网站中的个人信息的过程中没有采用适当的技术手段和组织措施来确保个人信息的安全,也没有使用合理的技术手段、组织措施来保障个人信息主体的权利,满足个人信息保护的原则。
(二)罚款金额的确定
1.“五步法”
在决定是否罚款以及计算罚款数额时,信息专员参考了GDPR第83(1)和(2)所列事项,并运用了《监管措施政策》中所列的五步法。
第一步:消除任何因数据泄露而获得的经济利益
英航没有因数据泄露直接或间接获得任何经济利益或避免的损失。
第二步:考虑数据泄露的范围和严重程度
ICO根据GDPR第83条的规定,考虑了以下因素:数据泄露的性质、严重程度和持续时间;违法行为是基于故意还是过失;数据控制者或处理者为减轻数据主体遭受的损失而采取的任何措施;数据控制者或处理者的责任轻重程度;数据控制者或处理者此前是否有过任何相关的违法行为;为纠正违法行为和减轻违法行为可能会带来的不利影响,与监管机构的合作程度;受违法行为影响的个人数据的种类;监管机构获知违法行为的方式,尤其是数据控制者或处理者是否主动告知违法行为,以及如果是,则其告知到了何种程度。
根据第二步,ICO认为对英航处以3000万英镑罚款是适当的。
第三步:是否有加重情节
信息专员认为没有任何相关的加重情节,因此没有改变第二步所确定的罚款额。
第四步:增加罚款额,对他人起到告诫作用
考虑到第二步所确定的罚款额,ICO认为没有必要增加罚款额以告诫他人。ICO认为处以更高罚款并不会阻止此类事件的发生。
第五步:减少罚款额,以反映任何减轻因素,包括支付能力(财政困难)
考虑到以下因素,ICO将罚款金额减少20%至2400万英镑:
(1)英航立即采取补救措施减轻数据主体的损失;
(2)英航立即通知受影响的数据主体、其他执法监管机构和信息专员,并在其后全力配合信息专员的调查;
(3)媒体对此次攻击广泛的报道使得其他数据控制者提高对网络攻击风险的认识并意识到采取适当措施保障个人数据安全的必要性;
(4)这次攻击和随后的监管行为对英航的品牌和声誉造成不利影响,这对英航和其他数据控制者产生一定威慑效果。
2.新冠肺炎疫情政策
根据新冠疫情对英航的影响和ICO发布的指南,减免英航400万英镑的罚款。因此,英航应支付的最终罚款额为2000万英镑。
在处罚通知中,ICO就2019年作出的1.83亿英镑的罚款意向也作出了特别说明,其指出在计算最终的处罚金额时并没有将原来的1.83亿英镑作为起点也没有将1.83亿英镑作为考量的因素,最终的处罚金额是根据英航提供的多份正式书面陈述材料独立做出的。
三、对航空公司的启示
(一)加强对第三方供应商访问权限的管理
因业务类型的广泛及操作流程的复杂,航空公司通常需要为第三方供应商开放部分系统登录权限。当第三方进入到公司内部系统后有可能接触到内部商业数据和旅客信息,这成为商业信息与旅客信息保护的一个重要风险点。英航此次信息泄露事件的漏洞源头就在于攻击者窃取第三方账户先进入英航内部系统,后进行一系列非法操作。做好对第三方供应商访问权限的管理工作十分必要,建议完整记录其访问记录、浏览日志,当其账号发生过量访问、异常访问状态时应被自动锁定,待航空公司审核确认账号安全后再予以开放权限,同时应当与被授权的第三方签订保密协议,规范有关商业数据及旅客信息保护的权利义务,明确违约责任。
(二)远程登录系统应采取多因素验证策略
在本案件中攻击者通过英航的远程登录系统进入到英航内部网络,而其远程登录系统的验证策略十分简单,仅输入用户名和密码便可通过验证,访问英航系统上特定的应用程序。若英航在设置远程登录验证时使用多因素认证措施,将访问系统的权限设置为能够完成两个或多个步骤的组合(例如,密码加手机短信验证码的组合)才可登录成功,势必大大增强安全防护力度。因此航空公司应在对所有远程登录账号的验证,尤其是第三方供应商远程登录账号的验证上,实施多因素验证策略,最大程度地确保身份核验准确。
(三)提升信息安全态势感知和预警能力
攻击者非法进入系统并进行违法数据迁移长达两个月之久,英航才从第三方得知信息泄露事件的发生,迟缓的漏洞监测和预警速度不仅造成受害群体规模的扩大,并且也成为后期监管机构判定其未采取合理技术手段和组织措施对数据予以保护的事实依据。加强对系统异常状态的日常监测,监控域管理员账户的活动情况,提升公司已有的信息安全态势感知能力也是航空公司数据安全工作升级中举足轻重的环节,以便对系统外侵活动快速反应,在早期阶段控制信息泄露的影响范围,及时修补漏洞,将损失降到最低。
(四)优化敏感信息分级管理
在此次英航事件中,泄露的信息多为英航客户的支付卡信息及CVV码,监管机构认为此类信息属于个人敏感财务信息,其泄露会使英航客户的财产安全风险大大增加,一旦泄露造成后果严重程度更高,因此应当予以更多的关注和保护。同时,攻击者之所以能够成功实施对客户支付卡信息这类密级较高的敏感信息的窃取,是因为攻击者获得了未加密的特权域管理员账户的用户名和密码,为攻击者实施攻击行为提供了便利。信息分级管理是目前航空公司个人信息保护合规中的基础工作,但应注意的是,分级管理工作不应仅止步于简单的信息密级分类,更应当进一步优化不同等级信息的梯级防护策略,对高敏感信息采取包括加密、限制访问、单独存储等严格的技术防护措施,随航空业务类型的扩充和延展对信息分级管理工作与技术防御手段不断深化和迭代。
(五)完善信息泄露事件应急处置方案
在英航案例中,监管机构本欲对英航处以1.83亿英镑金额的罚款,之所以最终的处罚大幅减少为2000万英镑,部分原因在于英航积极提供证据材料及书面陈述材料,与监管机构持续进行有效的意见互通,最终其意见被监管机构所采纳,英航对调查工作的积极配合也被监管机构纳入了定罚考量因素中。为确保航空公司个人信息航空公司安全管理工作齐全完备,除前文所述的日常合规工作外,还应居安思危,制定信息泄露事件处置规则,明确信息泄露事件处置的责任主体和上报流程,以最快的速度补救漏洞、挽回损失,为信息泄露事故的应急处置工作提供切实的预案指引。一旦遭到监管机构调查,应建立内部工作机制积极应对,明确多部门联动的职责,向监管机构主张权利,提供有力证据,进行充分申辩,配合监管机构的调查活动,争取将损失降到最低。
英国航空被处以2000万英镑处罚为全球航空公司敲响了警钟,对日常个人信息保护和信息安全事件应对处置提供了前车之鉴。航空公司处理的个人信息量巨大,应进一步完善个人信息全流程合规工作、提升信息安全防御技术、前瞻性地回应旅客对个人信息权利的关切。积极应对个人信息合规挑战,奋力对标现代航空企业管理水准,让先进的合规管理工作为企业改革发展保驾护航。
(东航法律合规部营销与旅客信息保护分部)
声明:本文来自中国法学会航空法学研究会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。