信息來源:安全牛
2019 年多家企業(yè)的數(shù)據(jù)泄露事故被處以巨額罰款�,這表明監(jiān)管機構對那些未能妥善保護消費者數(shù)據(jù)的組織的容忍度越來愈低。在英國�,英國航空公司遭受了創(chuàng)紀錄的 2.3 億美元罰款���,緊隨其后的是對萬豪集團的 1.24 億美元罰款。而在美國�,Equifax 同意為其 2017 年的違規(guī)行為支付至少 5.75 億美元。
值得注意的是��,罰款在企業(yè)數(shù)據(jù)泄露損失中所占的比例很少�,根據(jù)卡巴斯基 2019 年的企業(yè)數(shù)據(jù)泄露成本分析報告(下圖),企業(yè)數(shù)據(jù)泄露事故損失的前五項分別是:信用/保險損失���、外部專家招聘���、業(yè)務損失、公關成本和內(nèi)部(安全崗位)加薪�����。
以額外的(安全崗位)加薪為例�,Equifax 的 CISO 在數(shù)據(jù)泄露事故發(fā)生前年薪只有幾十萬美元,但在大規(guī)模數(shù)據(jù)泄露事故后����,該崗位薪水立刻飆升到了近 300 萬美元����。
因此����,當我們觀摩下面這個數(shù)據(jù)泄露罰款 TOP10 榜單時�����,應當清楚這些罰款金額只是企業(yè)數(shù)據(jù)泄露總體成本的一小部分��。
第一名 Equifax:高于5.75億美元
2017 年�,由于一個數(shù)據(jù)庫未及時安裝 Apache Struts 框架的嚴重漏洞補丁,Equifax 損失了近 1.5 億條個人和財務信息����。
2019 年 7 月,Equifax 同意向聯(lián)邦貿(mào)易委員會�,消費者金融保護局 (CFPB) 以及美國所有 50 個州和地區(qū)就該公司的“事故” 支付 5.75 億美元,可能增至 7 億美元��。并承諾采取合理的方法來保護其網(wǎng)絡�。
第二名 英國航空:2.3億美元
過去一年中歐盟《通用數(shù)據(jù)保護條例》(GDPR) 的懲罰措施大多較輕�,對歐洲大陸企業(yè)與數(shù)據(jù)泄露有關的罰款通常不超過數(shù)十萬歐元�。
當大家都以為 GDPR 的威懾力將逐漸消失時,英國航空接到了創(chuàng)紀錄的 1.83 億英鎊(約合2.3億美元)的罰單�,這是迄今為止最高的數(shù)據(jù)泄露罰款,超過了優(yōu)步在 2018 年支付的 1.48 億美元�。根據(jù) ICO 的調(diào)查,英國航空此次數(shù)據(jù)泄露事故源于糟糕的安全管理�����,對第三方供應商腳本的安全審核疏忽�。顯然,GDPR 已成為將安全性提高到董事會議事日程的主要驅(qū)動力之一�����。
第三名 Uber:1.48億美元
2016 年�����,網(wǎng)約車平臺 Uber 泄露了 60 萬司機和 5700 萬用戶帳戶信息���。該公司沒有披露該事件�,而是向肇事者支付了 10 萬美元,試圖瞞天過海���。但是����,這些行為使公司付出了沉重的代價�����。該公司在2018年因違反州數(shù)據(jù)泄露通知法而被罰款 1.48 億美元�����,是當時歷史上最大的數(shù)據(jù)泄露罰款����。
第四名 萬豪國際:1.24億美元
GDPR 的罰款就像等公共汽車:半天不來一輛����,一來就是兩輛。在對英國航空公司 (British Airways) 處以創(chuàng)紀錄的罰款后幾天�,ICO 就因數(shù)據(jù)泄露而再次對萬豪國際處以第二筆巨額罰款。
在多達 5 億客戶的付款信息��,姓名�����,地址,電話號碼�,電子郵件地址和護照號碼遭到泄露后,萬豪國際酒店集團被罰款 9900 萬英鎊(約合1.24億美元)�。攻擊者在喜達屋網(wǎng)絡上潛伏了長達四年的時間,而在萬豪于 2015 年將其收購后�����,攻擊持續(xù)了大約三年�。
根據(jù) ICO 的聲明,萬豪 “在收購喜達屋時未進行充分的盡職調(diào)查�,信息安全方面工作欠缺?!?這家酒店連鎖店還被土耳其數(shù)據(jù)保護局(不在GDPR立法之下)處以 150 萬里拉(約合265,000美元)的罰款��,這凸顯了一次違規(guī)行為可能導致全球范圍內(nèi)的多次罰款��。
第五名 雅虎:8500萬美元
2013 年�,雅虎因安全漏洞導致大規(guī)模數(shù)據(jù)泄露,影響了大約 30 億個帳戶(幾乎是整個互聯(lián)網(wǎng)人口數(shù))�。但是,該公司三年來一直沒有透露這些信息。
2018 年 4 月���,美國證券交易委員會 (SEC) 因未能披露違規(guī)行為對雅虎公司處以 3500 萬美元的罰款��。去年 9 月�����,雅虎的新任老板 Altaba 承認�,它已經(jīng)解決了因違規(guī)而導致的集體訴訟��,金額高達 5000 萬美元����。
第六名 樂購銀行(Tesco Bank):2,100萬美元
樂購銀行是英國連鎖超市Tesco的零售銀行部門,2016 年該銀行的 9000 個客戶賬戶累計被黑客 “擄走” 近 300 萬美元����,被英國金融行為管理局 (FCA) 處以 2120 萬美元罰款��。FCA 指責 Tesco在其借記卡設計�����,金融犯罪控制以及其金融犯罪行動團隊中存在 “缺陷”。
第七名 Target:1850萬美元
2017 年�����,零售業(yè)巨頭 Target 同意與 47 個州和哥倫比亞特區(qū)達成一項 1850 萬美元的和解協(xié)議���,該協(xié)議涉及的數(shù)據(jù)泄露事故發(fā)生在 2013 年感恩節(jié)后的黑色星期五銷售高峰期間�,約 4000 萬個信用卡和借記卡帳戶被盜�。后來的調(diào)查發(fā)現(xiàn),攻擊者還竊取了多達 7000 萬個人的姓名����,地址,電話號碼和電子郵件地址�����。與違規(guī)相關的總成本超過 2 億美元�。
第八名 Anthem:1600萬美元
美國健康保險公司 Anthem 在 2015 年遭受數(shù)據(jù)泄露,影響了 7900 萬人���。泄露信息包括姓名�,生日���,社會保險號和醫(yī)療身份證����。2018 年 10 月,該公司因違反《健康保險可攜帶性和責任法案》(HIPAA) 而被美國衛(wèi)生與公共服務部罰款 1600 萬美元�。此外,該公司在 2017 年為解決與違規(guī)有關的集體訴訟支付了 1.15 億美元的賠償�����。
第九名 1&1 Telecom:1,060萬美元
發(fā)放 GDPR 罰款單的不僅是英國的 ICO�����。德國網(wǎng)絡托管公司 1&1 因未采取 “足夠的技術和組織措施” 防止未經(jīng)授權的人員獲得客戶信息訪問權限而被德國聯(lián)邦數(shù)據(jù)保護和信息自由專員 (BfDI) 罰款 955 萬歐元(1,060萬美元)�����。1&1Telecom 的身份驗證過程有嚴重漏洞�����,呼叫者只需提供他們目標個人的姓名和生日�,就可以獲取其信息�。
類似的 GDPR 罰款還包括:對奧地利郵政部門處以 1800 萬歐元的罰款�����,以處理數(shù)據(jù)主體的政治從屬關系���;對德國房地產(chǎn)公司 Deutsche Wohnen 處以 1,450 萬歐元的罰款,原因是該公司不再使用客戶數(shù)據(jù)后保留了客戶數(shù)據(jù)�����。
第十名 德克薩斯大學馬里蘭州安德森癌癥中心:430萬美元
2018 年 6 月�,法官維持了對德克薩斯大學 MD 安德森癌癥中心因違反 HIPAA 規(guī)定而被罰款 430 萬美元的決定。癌癥中心在 2012 年至 2013 年間遭受了 3 次數(shù)據(jù)泄露����,導致超過 33,500 個人的健康信息丟失。
值得注意的是�����,三次數(shù)據(jù)泄露都是因為人員安全意識薄弱:有一次泄露是因為一臺未加密的筆記本電腦從員工住所被盜�����。其他兩次則是因為丟失未加密的 U 盤�。
此次數(shù)據(jù)泄露事故中�,平均每個用戶賬戶數(shù)據(jù)泄露的罰款成本約 128 美元��。
