信息來源:安全牛
2019 年多家企業(yè)的數(shù)據(jù)泄露事故被處以巨額罰款,這表明監(jiān)管機構(gòu)對那些未能妥善保護消費者數(shù)據(jù)的組織的容忍度越來愈低。在英國,英國航空公司遭受了創(chuàng)紀錄的 2.3 億美元罰款,緊隨其后的是對萬豪集團的 1.24 億美元罰款。而在美國,Equifax 同意為其 2017 年的違規(guī)行為支付至少 5.75 億美元。
值得注意的是,罰款在企業(yè)數(shù)據(jù)泄露損失中所占的比例很少,根據(jù)卡巴斯基 2019 年的企業(yè)數(shù)據(jù)泄露成本分析報告(下圖),企業(yè)數(shù)據(jù)泄露事故損失的前五項分別是:信用/保險損失、外部專家招聘、業(yè)務(wù)損失、公關(guān)成本和內(nèi)部(安全崗位)加薪。
以額外的(安全崗位)加薪為例,Equifax 的 CISO 在數(shù)據(jù)泄露事故發(fā)生前年薪只有幾十萬美元,但在大規(guī)模數(shù)據(jù)泄露事故后,該崗位薪水立刻飆升到了近 300 萬美元。
因此,當我們觀摩下面這個數(shù)據(jù)泄露罰款 TOP10 榜單時,應(yīng)當清楚這些罰款金額只是企業(yè)數(shù)據(jù)泄露總體成本的一小部分。
第一名 Equifax:高于5.75億美元
2017 年,由于一個數(shù)據(jù)庫未及時安裝 Apache Struts 框架的嚴重漏洞補丁,Equifax 損失了近 1.5 億條個人和財務(wù)信息。
2019 年 7 月,Equifax 同意向聯(lián)邦貿(mào)易委員會,消費者金融保護局 (CFPB) 以及美國所有 50 個州和地區(qū)就該公司的“事故” 支付 5.75 億美元,可能增至 7 億美元。并承諾采取合理的方法來保護其網(wǎng)絡(luò)。
第二名 英國航空:2.3億美元
過去一年中歐盟《通用數(shù)據(jù)保護條例》(GDPR) 的懲罰措施大多較輕,對歐洲大陸企業(yè)與數(shù)據(jù)泄露有關(guān)的罰款通常不超過數(shù)十萬歐元。
當大家都以為 GDPR 的威懾力將逐漸消失時,英國航空接到了創(chuàng)紀錄的 1.83 億英鎊(約合2.3億美元)的罰單,這是迄今為止最高的數(shù)據(jù)泄露罰款,超過了優(yōu)步在 2018 年支付的 1.48 億美元。根據(jù) ICO 的調(diào)查,英國航空此次數(shù)據(jù)泄露事故源于糟糕的安全管理,對第三方供應(yīng)商腳本的安全審核疏忽。顯然,GDPR 已成為將安全性提高到董事會議事日程的主要驅(qū)動力之一。
第三名 Uber:1.48億美元
2016 年,網(wǎng)約車平臺 Uber 泄露了 60 萬司機和 5700 萬用戶帳戶信息。該公司沒有披露該事件,而是向肇事者支付了 10 萬美元,試圖瞞天過海。但是,這些行為使公司付出了沉重的代價。該公司在2018年因違反州數(shù)據(jù)泄露通知法而被罰款 1.48 億美元,是當時歷史上最大的數(shù)據(jù)泄露罰款。
第四名 萬豪國際:1.24億美元
GDPR 的罰款就像等公共汽車:半天不來一輛,一來就是兩輛。在對英國航空公司 (British Airways) 處以創(chuàng)紀錄的罰款后幾天,ICO 就因數(shù)據(jù)泄露而再次對萬豪國際處以第二筆巨額罰款。
在多達 5 億客戶的付款信息,姓名,地址,電話號碼,電子郵件地址和護照號碼遭到泄露后,萬豪國際酒店集團被罰款 9900 萬英鎊(約合1.24億美元)。攻擊者在喜達屋網(wǎng)絡(luò)上潛伏了長達四年的時間,而在萬豪于 2015 年將其收購后,攻擊持續(xù)了大約三年。
根據(jù) ICO 的聲明,萬豪 “在收購喜達屋時未進行充分的盡職調(diào)查,信息安全方面工作欠缺。” 這家酒店連鎖店還被土耳其數(shù)據(jù)保護局(不在GDPR立法之下)處以 150 萬里拉(約合265,000美元)的罰款,這凸顯了一次違規(guī)行為可能導致全球范圍內(nèi)的多次罰款。
第五名 雅虎:8500萬美元
2013 年,雅虎因安全漏洞導致大規(guī)模數(shù)據(jù)泄露,影響了大約 30 億個帳戶(幾乎是整個互聯(lián)網(wǎng)人口數(shù))。但是,該公司三年來一直沒有透露這些信息。
2018 年 4 月,美國證券交易委員會 (SEC) 因未能披露違規(guī)行為對雅虎公司處以 3500 萬美元的罰款。去年 9 月,雅虎的新任老板 Altaba 承認,它已經(jīng)解決了因違規(guī)而導致的集體訴訟,金額高達 5000 萬美元。
第六名 樂購銀行(Tesco Bank):2,100萬美元
樂購銀行是英國連鎖超市Tesco的零售銀行部門,2016 年該銀行的 9000 個客戶賬戶累計被黑客 “擄走” 近 300 萬美元,被英國金融行為管理局 (FCA) 處以 2120 萬美元罰款。FCA 指責 Tesco在其借記卡設(shè)計,金融犯罪控制以及其金融犯罪行動團隊中存在 “缺陷”。
第七名 Target:1850萬美元
2017 年,零售業(yè)巨頭 Target 同意與 47 個州和哥倫比亞特區(qū)達成一項 1850 萬美元的和解協(xié)議,該協(xié)議涉及的數(shù)據(jù)泄露事故發(fā)生在 2013 年感恩節(jié)后的黑色星期五銷售高峰期間,約 4000 萬個信用卡和借記卡帳戶被盜。后來的調(diào)查發(fā)現(xiàn),攻擊者還竊取了多達 7000 萬個人的姓名,地址,電話號碼和電子郵件地址。與違規(guī)相關(guān)的總成本超過 2 億美元。
第八名 Anthem:1600萬美元
美國健康保險公司 Anthem 在 2015 年遭受數(shù)據(jù)泄露,影響了 7900 萬人。泄露信息包括姓名,生日,社會保險號和醫(yī)療身份證。2018 年 10 月,該公司因違反《健康保險可攜帶性和責任法案》(HIPAA) 而被美國衛(wèi)生與公共服務(wù)部罰款 1600 萬美元。此外,該公司在 2017 年為解決與違規(guī)有關(guān)的集體訴訟支付了 1.15 億美元的賠償。
第九名 1&1 Telecom:1,060萬美元
發(fā)放 GDPR 罰款單的不僅是英國的 ICO。德國網(wǎng)絡(luò)托管公司 1&1 因未采取 “足夠的技術(shù)和組織措施” 防止未經(jīng)授權(quán)的人員獲得客戶信息訪問權(quán)限而被德國聯(lián)邦數(shù)據(jù)保護和信息自由專員 (BfDI) 罰款 955 萬歐元(1,060萬美元)。1&1Telecom 的身份驗證過程有嚴重漏洞,呼叫者只需提供他們目標個人的姓名和生日,就可以獲取其信息。
類似的 GDPR 罰款還包括:對奧地利郵政部門處以 1800 萬歐元的罰款,以處理數(shù)據(jù)主體的政治從屬關(guān)系;對德國房地產(chǎn)公司 Deutsche Wohnen 處以 1,450 萬歐元的罰款,原因是該公司不再使用客戶數(shù)據(jù)后保留了客戶數(shù)據(jù)。
第十名 德克薩斯大學馬里蘭州安德森癌癥中心:430萬美元
2018 年 6 月,法官維持了對德克薩斯大學 MD 安德森癌癥中心因違反 HIPAA 規(guī)定而被罰款 430 萬美元的決定。癌癥中心在 2012 年至 2013 年間遭受了 3 次數(shù)據(jù)泄露,導致超過 33,500 個人的健康信息丟失。
值得注意的是,三次數(shù)據(jù)泄露都是因為人員安全意識薄弱:有一次泄露是因為一臺未加密的筆記本電腦從員工住所被盜。其他兩次則是因為丟失未加密的 U 盤。
此次數(shù)據(jù)泄露事故中,平均每個用戶賬戶數(shù)據(jù)泄露的罰款成本約 128 美元。