Cathay Pasific’in yolcu bilgilerini içeren bilgi sistemlerine 13 Mart 2018’de siber hücum sonucu yetkisiz erişim gerçekleşti. Bu durum şirket tarafından 7 Mayıs 2018’de tespit edildi.
İnceleme sonucunda ulaşılan yolcu bilgileri ortasında isim, uyruk, telefon numarası, doğum tarihi, elektronik posta adresi üzere bilgilerin bulunduğu belirlendi. Türkiye’de 1286 kişinin data ihlalinden etkilendiği, 155 kişinin pasaport numarasına erişildiği anlaşıldı.
Kişisel Bilgileri Muhafaza Heyeti, Cathay Pasific’in bilgi ihlal bildirimi üzerine inceleme başlattı.
Kurul, 13 Mart 2018’de gerçekleşen ihlale ait, kuşkulu hareketlerden Cathay Pasific’in 2018’in Mart ayında haberdar olduğu, buna karşın ihlalin yaklaşık 2 ay sonra, 7 Mayıs 2018’de tespit edildiği sonucuna vardı.
Bu durumun bir güvenlik açığı olduğunu, şirket tarafından gerekli kontrollerin ve denetimlerin yapılmadığını belirleyen Şura, Ferdî Dataların Korunması Kanunu’nun 12. hususunda yer alan bilgi güvenliğine ait kararların ihlal edildiğine karar verdi.
Kurul, yaşanan data ihlalinin oluşmaması için kanunda öngörülen gerekli idari ve teknik önlemlerin alınmadığını tespit ederek, data güvenliğine ait yükümlülüklerin yerine getirilmediği gerekçesiyle Cathay Pasific’i 450 bin lira idari para cezasına çarptırdı.
Cathay Pasific’in, siber taarruza ait Şahsî Bilgileri Muhafaza Şurası ve ihlalden etkilenenlere 25 Ekim 2018’de bildirim yapmaya başlamasının kanunda belirtilen “en kısa müddette bildirimde bulunma yükümlülüğü”ne terslik teşkil ettiğine karar veren Heyet, bu nedenle de 100 bin lira idari para cezasına hükmetti.
AA
