亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

英國數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)——英國信息專員辦公室 (ICO) 本周一（7月8日）宣布稱，他們已經(jīng)向英國航空公司發(fā)出了處罰通知書，罰款總額為 183,390,000 英鎊（約合?2.3 億美元），處罰原因是英國航空公司 (BA) 在 2018 年的數(shù)據(jù)安全事件中泄露約?50 萬名乘客的私人信息。

該罰款是在歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR) 的作用下征收的，是迄今為止歐洲出現(xiàn)的最高罰款記錄。在 GDPR 正式生效后的前 9 個(gè)月內(nèi)，歐盟征收的罰款總額為 55,955,871 歐元——其中 5000 萬歐元是法國監(jiān)管機(jī)構(gòu) CNIL 針對(duì)谷歌進(jìn)行的單筆罰款金額。

2019 年 1 月 21 日，法國數(shù)據(jù)監(jiān)管機(jī)構(gòu) CNIL 對(duì)谷歌處以 5000 萬歐元的高額罰款，因谷歌違反《通用數(shù)據(jù)保護(hù)條例》(GDPR) 的透明性原則、提供充分信息以及針對(duì)個(gè)性化廣告缺乏數(shù)據(jù)處理的合法性基礎(chǔ)。具體來說，谷歌違反的行為包括兩項(xiàng)：

1）違反透明性原則（GDPR第12條）和提供充分信息的義務(wù)（GDPR第13條）；谷歌的隱私相關(guān)描述文件較多，且對(duì)于廣告、地理位置等埋于較深的位置，需要用戶多次跳轉(zhuǎn)，被認(rèn)定為不易訪問；

2）個(gè)性化廣告的處理行為缺乏處理的合法性基礎(chǔ)，即不符合用戶同意的要件（GDPR第6條）。

這是第一個(gè)明確的跡象，表明歐洲數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)無懼使用GDPR對(duì)大型企業(yè) “開刀”。世界各地那些對(duì) GDPR 執(zhí)行力度仍然抱有幻想的組織也無需繼續(xù)觀望了。GDPR 罰款與企業(yè)營業(yè)額已經(jīng)有目的地聯(lián)系在了一起，因此大型企業(yè)不能將數(shù)據(jù)保護(hù)罰款作為其必要運(yùn)營成本的一部分。

值得注意的是，根據(jù)英國特許信息安全專業(yè)人員協(xié)會(huì) (Chartered Institute of Information Security Professionals) 首席執(zhí)行官Amanda Finch的說法，23% 的安全專業(yè)人士稱（英國航空公司的數(shù)據(jù)泄露事件）是 2018 年最嚴(yán)重的安全事件之一，僅次于 Facebook 和劍橋分析公司的數(shù)據(jù)泄露丑聞。但是，F(xiàn)acebook 的劍橋分析公司事件卻只被罰款50萬英鎊（約合 430 萬人民幣），當(dāng)然，那時(shí)《通用數(shù)據(jù)保護(hù)條例》還未生效。50 萬英鎊的罰款對(duì)于 Facebook 這種規(guī)模的公司而言影響并不大；但是此次 1.83 億英鎊的罰款無疑會(huì)給英國航空公司的董事會(huì)和所有其他公司留下深刻影響。

據(jù)悉，英國航空公司于 2018 年 9 月 6 日對(duì)外透露稱，其公司網(wǎng)絡(luò)已經(jīng)遭到破壞，網(wǎng)絡(luò)犯罪分子可以獲取 8 月 21 日- 9 月 5 日期間在其網(wǎng)站上預(yù)定票務(wù)的客戶個(gè)人和財(cái)務(wù)詳細(xì)信息。而造成此次事故的主要原因是英航的 “安全措施失位”。在該事件中，犯罪分子利用匿名的第三方身份設(shè)立了一個(gè)釣魚網(wǎng)站，用于接收英航服務(wù)器的重定向流量，并以此竊取用戶個(gè)人數(shù)據(jù)，其中包括賬號(hào)登錄信息、信用卡信息、客戶姓名、郵政地址、電子郵件地址和行程預(yù)訂情況等。

調(diào)查發(fā)現(xiàn)，此次攻擊背后的犯罪分子是 Magecart 團(tuán)隊(duì)之一。據(jù)悉，Magecart 是至少七個(gè)網(wǎng)絡(luò)威脅組織的總稱，在電子商務(wù)網(wǎng)站上搞了很多事，用來收集用戶的信用卡記錄，包括 Ticketmaster，British Airways 和 Newegg 在內(nèi)的數(shù)十個(gè)電子商務(wù)網(wǎng)站都被該集團(tuán)攻陷，而且每天的受害者仍然在增加。

多年來一直負(fù)責(zé)監(jiān)控 Magecart 團(tuán)伙的安全公司 RiskIQ 評(píng)論說，Magecart 針對(duì)英國航空公司網(wǎng)站建立了定制化、有針對(duì)性的基礎(chǔ)設(shè)施，以盡可能避免被發(fā)現(xiàn)。雖然我們可能永遠(yuǎn)無法知道攻擊者對(duì)英國航空公司服務(wù)器的覆蓋范圍有多大，但就他們能夠修改該站點(diǎn)的資源這一事實(shí)就可以看出，他們所獲取的訪問權(quán)限非常大，而且他們可能在攻擊開始之前很久就已經(jīng)開始了這種訪問行為。這件事可謂是對(duì)面向網(wǎng)絡(luò)的資產(chǎn)的脆弱性提出了一個(gè)明確的警告。

不過，根據(jù) ICO 的說法，針對(duì)英航的攻擊事件應(yīng)該是從 2018 年 6 月開始的，也就是英航對(duì)外公布該事件的 3 個(gè)月前。

雖然看起來此次 ICO 的罰款力度很大，但如果完全按照 GDPR 規(guī)定進(jìn)行處罰，結(jié)果可能會(huì)更糟。根據(jù)《通用數(shù)據(jù)保護(hù)條例》(GDPR)，公司必須在發(fā)現(xiàn)數(shù)據(jù)泄露情況后的 72 小時(shí)內(nèi)向相應(yīng)的歐洲當(dāng)局進(jìn)行報(bào)告，該條例還規(guī)定歐盟集團(tuán)內(nèi)的本地?cái)?shù)據(jù)保護(hù)機(jī)構(gòu)可以對(duì)發(fā)生數(shù)據(jù)泄露的公司最高處以其年度總收入 4％ 的罰款。英航去年的全球營業(yè)額約為 116.9 億英鎊，這意味著擬議的 ICO 罰款僅相當(dāng)于英航 2017 年總收入的 1.5％ 左右，遠(yuǎn)低于最高罰金 4% 或 4.676 億英鎊。

所以，此次罰款可能會(huì)為英航帶來一絲痛苦，但卻不至于會(huì)對(duì)其造成傷害，或者說，不會(huì)傷其根本。國際航空集團(tuán) (IAG)——愛爾蘭航空、英國航空、伊比利亞航空、Vueling 航空和 LEVEL 航空的母公司——應(yīng)該也不會(huì)受到長期影響，因?yàn)榱P款仍然僅占其總利潤的 7%。

然而，相比罰款，此次數(shù)據(jù)泄露事件對(duì)英國航空造成的經(jīng)濟(jì)損失要高得多。1.83 億英鎊是該公司未能妥善保護(hù)客戶敏感個(gè)人數(shù)據(jù)免受網(wǎng)絡(luò)犯罪分子侵害所付出的代價(jià)，這還不包括災(zāi)難恢復(fù)或響應(yīng)數(shù)據(jù)泄露事件所消耗的實(shí)際成本。無所作為的成本減去做了某些舉措的成本就是該公司愿意因?yàn)闆]有重視網(wǎng)絡(luò)安全問題而承受的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

ICO 在其聲明中表示，所謂的用戶個(gè)人數(shù)據(jù)，講的就是這些數(shù)據(jù)的私密性，當(dāng)一個(gè)組織未能保護(hù)它免受損失、損壞或被盜時(shí)，這為人們帶來的就不是 “不便” 那么簡單了。這也是為什么要對(duì)保護(hù)用戶個(gè)人數(shù)據(jù)明文規(guī)定的原因，當(dāng)人們將其私密數(shù)據(jù)委托給某方時(shí)，該方有義務(wù)確保這些數(shù)據(jù)的安全。那些沒有保護(hù)好用戶個(gè)人數(shù)據(jù)的組織將會(huì)面臨我們英國情報(bào)局的審查，并交由我們判斷他們是否已采取適當(dāng)措施保護(hù)這些私密數(shù)據(jù)。

針對(duì)此次事件，英國航空公司的首席執(zhí)行官 Alex Cruz 表示，公司對(duì)于此次罰款 “感到驚訝和失望”。他在一份聲明中稱：英國航空公司針對(duì)竊取客戶數(shù)據(jù)的犯罪行為迅速采取了響應(yīng)行動(dòng)。我們并沒有發(fā)現(xiàn)任何與盜竊活動(dòng)有關(guān)的賬戶發(fā)生欺詐行為的證據(jù)。

目前，ICO 已經(jīng)向英國航空公司發(fā)出了處罰通知書，要求其支付這項(xiàng)巨額罰款，但是該公司仍有 20 多天的時(shí)間可以在 ICO 確認(rèn)最終罰金之前進(jìn)行上訴。但是由于涉及的犯罪程度和后續(xù)欺詐的實(shí)物證據(jù)與 GDPR 的要求關(guān)系不大，可能并不會(huì)對(duì)英國航空公司的上訴產(chǎn)生任何影響。

事實(shí)上，ICO 給出的這種制裁結(jié)果看起來還是相當(dāng)合適的。在此之前，人們一直懷疑歐洲監(jiān)管機(jī)構(gòu)會(huì)在第一次罰款時(shí)做到 “無所不用其極”，以證明 GDPR 需要得到認(rèn)真對(duì)待。對(duì)此，ITC Secure 的網(wǎng)絡(luò)顧問主管 Malcolm Taylor 評(píng)論稱：

總有一種觀點(diǎn)認(rèn)為，無論是哪家大型企業(yè)首次違反了 GDPR 合規(guī)性要求，都會(huì)被樹立成典型。不過，我認(rèn)為 ICO 此次對(duì)英國航空公司的處罰非常合理，他們?cè)谡故玖俗陨淼谋O(jiān)管權(quán)力并給出了適當(dāng)?shù)膽土P外，也避免了全面否定英國航空的情況（罰款金額僅占營業(yè)額 1.5%，而非規(guī)定的 4%）。

專家分析稱，造成預(yù)期罰款減少的原因可能是英國航空公司選擇在事件發(fā)生后與 ICO 合作開展調(diào)查，并在此事曝光后對(duì)其安全性進(jìn)行了完善。然而，與此相反，ICO 對(duì)此次制裁給出的解釋是：經(jīng)ICO調(diào)查發(fā)現(xiàn)，各種信息都是因?yàn)?“安全措施失位” 才受到了損害。

ITC Secure的網(wǎng)絡(luò)顧問主管 Malcolm Taylor 表示：

這是 ICO 對(duì)于 GPPR 罰款做出的第一個(gè)恰當(dāng)示范。安全行業(yè)一直在期待看到這一點(diǎn)，但是即便如此，我判斷罰款的大小也讓人感到意外。大多數(shù)攻擊者發(fā)動(dòng)攻擊的目的都是為了錢，但是不可否認(rèn)他們所感受到的（和獲得的）這種不正當(dāng)?shù)臉s譽(yù)感也會(huì)驅(qū)使他們針對(duì)大型企業(yè)發(fā)起攻擊。在 ICO 有史以來最大的罰款背后，攻擊者又獲利多少？

這是企業(yè)組織必須面對(duì)的新常態(tài)，ICO 正在執(zhí)行他們的任務(wù)。這里透露的信息非常明確：它不是一個(gè) “對(duì)框打勾” 的問題——它是關(guān)于企業(yè)隱私的問題。你不能推出一個(gè)足夠好，但卻缺乏足夠的隱私或安全性的應(yīng)用程序。它也不是關(guān)于欺詐的直接風(fēng)險(xiǎn)的問題——它是關(guān)于持有數(shù)據(jù)的特權(quán)問題，這不再是英國航空公司也不再是任何人的權(quán)力，而且違反這種行為就等于侵犯了一類用戶身份的完整性。