信息來源:安全牛
2019 年多家企業(yè)的數(shù)據(jù)泄露事故被處以巨額罰款,這表明監(jiān)管機(jī)構(gòu)對(duì)那些未能妥善保護(hù)消費(fèi)者數(shù)據(jù)的組織的容忍度越來愈低。在英國(guó),英國(guó)航空公司遭受了創(chuàng)紀(jì)錄的 2.3 億美元罰款,緊隨其后的是對(duì)萬豪集團(tuán)的 1.24 億美元罰款。而在美國(guó),Equifax 同意為其 2017 年的違規(guī)行為支付至少 5.75 億美元。
值得注意的是,罰款在企業(yè)數(shù)據(jù)泄露損失中所占的比例很少,根據(jù)卡巴斯基 2019 年的企業(yè)數(shù)據(jù)泄露成本分析報(bào)告(下圖),企業(yè)數(shù)據(jù)泄露事故損失的前五項(xiàng)分別是:信用/保險(xiǎn)損失、外部專家招聘、業(yè)務(wù)損失、公關(guān)成本和內(nèi)部(安全崗位)加薪。
以額外的(安全崗位)加薪為例,Equifax 的 CISO 在數(shù)據(jù)泄露事故發(fā)生前年薪只有幾十萬美元,但在大規(guī)模數(shù)據(jù)泄露事故后,該崗位薪水立刻飆升到了近 300 萬美元。
因此,當(dāng)我們觀摩下面這個(gè)數(shù)據(jù)泄露罰款 TOP10 榜單時(shí),應(yīng)當(dāng)清楚這些罰款金額只是企業(yè)數(shù)據(jù)泄露總體成本的一小部分。
第一名 Equifax:高于5.75億美元
2017 年,由于一個(gè)數(shù)據(jù)庫未及時(shí)安裝 Apache Struts 框架的嚴(yán)重漏洞補(bǔ)丁,Equifax 損失了近 1.5 億條個(gè)人和財(cái)務(wù)信息。
2019 年 7 月,Equifax 同意向聯(lián)邦貿(mào)易委員會(huì),消費(fèi)者金融保護(hù)局 (CFPB) 以及美國(guó)所有 50 個(gè)州和地區(qū)就該公司的“事故” 支付 5.75 億美元,可能增至 7 億美元。并承諾采取合理的方法來保護(hù)其網(wǎng)絡(luò)。
第二名 英國(guó)航空:2.3億美元
過去一年中歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR) 的懲罰措施大多較輕,對(duì)歐洲大陸企業(yè)與數(shù)據(jù)泄露有關(guān)的罰款通常不超過數(shù)十萬歐元。
當(dāng)大家都以為 GDPR 的威懾力將逐漸消失時(shí),英國(guó)航空接到了創(chuàng)紀(jì)錄的 1.83 億英鎊(約合2.3億美元)的罰單,這是迄今為止最高的數(shù)據(jù)泄露罰款,超過了優(yōu)步在 2018 年支付的 1.48 億美元。根據(jù) ICO 的調(diào)查,英國(guó)航空此次數(shù)據(jù)泄露事故源于糟糕的安全管理,對(duì)第三方供應(yīng)商腳本的安全審核疏忽。顯然,GDPR 已成為將安全性提高到董事會(huì)議事日程的主要驅(qū)動(dòng)力之一。
第三名 Uber:1.48億美元
2016 年,網(wǎng)約車平臺(tái) Uber 泄露了 60 萬司機(jī)和 5700 萬用戶帳戶信息。該公司沒有披露該事件,而是向肇事者支付了 10 萬美元,試圖瞞天過海。但是,這些行為使公司付出了沉重的代價(jià)。該公司在2018年因違反州數(shù)據(jù)泄露通知法而被罰款 1.48 億美元,是當(dāng)時(shí)歷史上最大的數(shù)據(jù)泄露罰款。
第四名 萬豪國(guó)際:1.24億美元
GDPR 的罰款就像等公共汽車:半天不來一輛,一來就是兩輛。在對(duì)英國(guó)航空公司 (British Airways) 處以創(chuàng)紀(jì)錄的罰款后幾天,ICO 就因數(shù)據(jù)泄露而再次對(duì)萬豪國(guó)際處以第二筆巨額罰款。
在多達(dá) 5 億客戶的付款信息,姓名,地址,電話號(hào)碼,電子郵件地址和護(hù)照號(hào)碼遭到泄露后,萬豪國(guó)際酒店集團(tuán)被罰款 9900 萬英鎊(約合1.24億美元)。攻擊者在喜達(dá)屋網(wǎng)絡(luò)上潛伏了長(zhǎng)達(dá)四年的時(shí)間,而在萬豪于 2015 年將其收購后,攻擊持續(xù)了大約三年。
根據(jù) ICO 的聲明,萬豪 “在收購喜達(dá)屋時(shí)未進(jìn)行充分的盡職調(diào)查,信息安全方面工作欠缺?!?這家酒店連鎖店還被土耳其數(shù)據(jù)保護(hù)局(不在GDPR立法之下)處以 150 萬里拉(約合265,000美元)的罰款,這凸顯了一次違規(guī)行為可能導(dǎo)致全球范圍內(nèi)的多次罰款。
第五名 雅虎:8500萬美元
2013 年,雅虎因安全漏洞導(dǎo)致大規(guī)模數(shù)據(jù)泄露,影響了大約 30 億個(gè)帳戶(幾乎是整個(gè)互聯(lián)網(wǎng)人口數(shù))。但是,該公司三年來一直沒有透露這些信息。
2018 年 4 月,美國(guó)證券交易委員會(huì) (SEC) 因未能披露違規(guī)行為對(duì)雅虎公司處以 3500 萬美元的罰款。去年 9 月,雅虎的新任老板 Altaba 承認(rèn),它已經(jīng)解決了因違規(guī)而導(dǎo)致的集體訴訟,金額高達(dá) 5000 萬美元。
第六名 樂購銀行(Tesco Bank):2,100萬美元
樂購銀行是英國(guó)連鎖超市Tesco的零售銀行部門,2016 年該銀行的 9000 個(gè)客戶賬戶累計(jì)被黑客 “擄走” 近 300 萬美元,被英國(guó)金融行為管理局 (FCA) 處以 2120 萬美元罰款。FCA 指責(zé) Tesco在其借記卡設(shè)計(jì),金融犯罪控制以及其金融犯罪行動(dòng)團(tuán)隊(duì)中存在 “缺陷”。
第七名 Target:1850萬美元
2017 年,零售業(yè)巨頭 Target 同意與 47 個(gè)州和哥倫比亞特區(qū)達(dá)成一項(xiàng) 1850 萬美元的和解協(xié)議,該協(xié)議涉及的數(shù)據(jù)泄露事故發(fā)生在 2013 年感恩節(jié)后的黑色星期五銷售高峰期間,約 4000 萬個(gè)信用卡和借記卡帳戶被盜。后來的調(diào)查發(fā)現(xiàn),攻擊者還竊取了多達(dá) 7000 萬個(gè)人的姓名,地址,電話號(hào)碼和電子郵件地址。與違規(guī)相關(guān)的總成本超過 2 億美元。
第八名 Anthem:1600萬美元
美國(guó)健康保險(xiǎn)公司 Anthem 在 2015 年遭受數(shù)據(jù)泄露,影響了 7900 萬人。泄露信息包括姓名,生日,社會(huì)保險(xiǎn)號(hào)和醫(yī)療身份證。2018 年 10 月,該公司因違反《健康保險(xiǎn)可攜帶性和責(zé)任法案》(HIPAA) 而被美國(guó)衛(wèi)生與公共服務(wù)部罰款 1600 萬美元。此外,該公司在 2017 年為解決與違規(guī)有關(guān)的集體訴訟支付了 1.15 億美元的賠償。
第九名 1&1 Telecom:1,060萬美元
發(fā)放 GDPR 罰款單的不僅是英國(guó)的 ICO。德國(guó)網(wǎng)絡(luò)托管公司 1&1 因未采取 “足夠的技術(shù)和組織措施” 防止未經(jīng)授權(quán)的人員獲得客戶信息訪問權(quán)限而被德國(guó)聯(lián)邦數(shù)據(jù)保護(hù)和信息自由專員 (BfDI) 罰款 955 萬歐元(1,060萬美元)。1&1Telecom 的身份驗(yàn)證過程有嚴(yán)重漏洞,呼叫者只需提供他們目標(biāo)個(gè)人的姓名和生日,就可以獲取其信息。
類似的 GDPR 罰款還包括:對(duì)奧地利郵政部門處以 1800 萬歐元的罰款,以處理數(shù)據(jù)主體的政治從屬關(guān)系;對(duì)德國(guó)房地產(chǎn)公司 Deutsche Wohnen 處以 1,450 萬歐元的罰款,原因是該公司不再使用客戶數(shù)據(jù)后保留了客戶數(shù)據(jù)。
第十名 德克薩斯大學(xué)馬里蘭州安德森癌癥中心:430萬美元
2018 年 6 月,法官維持了對(duì)德克薩斯大學(xué) MD 安德森癌癥中心因違反 HIPAA 規(guī)定而被罰款 430 萬美元的決定。癌癥中心在 2012 年至 2013 年間遭受了 3 次數(shù)據(jù)泄露,導(dǎo)致超過 33,500 個(gè)人的健康信息丟失。
值得注意的是,三次數(shù)據(jù)泄露都是因?yàn)槿藛T安全意識(shí)薄弱:有一次泄露是因?yàn)橐慌_(tái)未加密的筆記本電腦從員工住所被盜。其他兩次則是因?yàn)閬G失未加密的 U 盤。
此次數(shù)據(jù)泄露事故中,平均每個(gè)用戶賬戶數(shù)據(jù)泄露的罰款成本約 128 美元。