信息來源：安全牛

2019 年多家企業(yè)的數(shù)據(jù)泄露事故被處以巨額罰款，這表明監(jiān)管機(jī)構(gòu)對(duì)那些未能妥善保護(hù)消費(fèi)者數(shù)據(jù)的組織的容忍度越來愈低。在英國(guó)，英國(guó)航空公司遭受了創(chuàng)紀(jì)錄的 2.3 億美元罰款，緊隨其后的是對(duì)萬豪集團(tuán)的 1.24 億美元罰款。而在美國(guó)，Equifax 同意為其 2017 年的違規(guī)行為支付至少 5.75 億美元。

值得注意的是，罰款在企業(yè)數(shù)據(jù)泄露損失中所占的比例很少，根據(jù)卡巴斯基 2019 年的企業(yè)數(shù)據(jù)泄露成本分析報(bào)告（下圖），企業(yè)數(shù)據(jù)泄露事故損失的前五項(xiàng)分別是：信用/保險(xiǎn)損失、外部專家招聘、業(yè)務(wù)損失、公關(guān)成本和內(nèi)部（安全崗位）加薪。

以額外的（安全崗位）加薪為例，Equifax 的 CISO 在數(shù)據(jù)泄露事故發(fā)生前年薪只有幾十萬美元，但在大規(guī)模數(shù)據(jù)泄露事故后，該崗位薪水立刻飆升到了近 300 萬美元。

因此，當(dāng)我們觀摩下面這個(gè)數(shù)據(jù)泄露罰款 TOP10 榜單時(shí)，應(yīng)當(dāng)清楚這些罰款金額只是企業(yè)數(shù)據(jù)泄露總體成本的一小部分。

第一名 Equifax：高于5.75億美元

2017 年，由于一個(gè)數(shù)據(jù)庫(kù)未及時(shí)安裝 Apache Struts 框架的嚴(yán)重漏洞補(bǔ)丁，Equifax 損失了近 1.5 億條個(gè)人和財(cái)務(wù)信息。

2019 年 7 月，Equifax 同意向聯(lián)邦貿(mào)易委員會(huì)，消費(fèi)者金融保護(hù)局 (CFPB) 以及美國(guó)所有 50 個(gè)州和地區(qū)就該公司的“事故” 支付 5.75 億美元，可能增至 7 億美元。并承諾采取合理的方法來保護(hù)其網(wǎng)絡(luò)。

第二名 英國(guó)航空：2.3億美元

過去一年中歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR) 的懲罰措施大多較輕，對(duì)歐洲大陸企業(yè)與數(shù)據(jù)泄露有關(guān)的罰款通常不超過數(shù)十萬歐元。

當(dāng)大家都以為 GDPR 的威懾力將逐漸消失時(shí)，英國(guó)航空接到了創(chuàng)紀(jì)錄的 1.83 億英鎊（約合2.3億美元）的罰單，這是迄今為止最高的數(shù)據(jù)泄露罰款，超過了優(yōu)步在 2018 年支付的 1.48 億美元。根據(jù) ICO 的調(diào)查，英國(guó)航空此次數(shù)據(jù)泄露事故源于糟糕的安全管理，對(duì)第三方供應(yīng)商腳本的安全審核疏忽。顯然，GDPR 已成為將安全性提高到董事會(huì)議事日程的主要驅(qū)動(dòng)力之一。

第三名 Uber：1.48億美元

2016 年，網(wǎng)約車平臺(tái) Uber 泄露了 60 萬司機(jī)和 5700 萬用戶帳戶信息。該公司沒有披露該事件，而是向肇事者支付了 10 萬美元，試圖瞞天過海。但是，這些行為使公司付出了沉重的代價(jià)。該公司在2018年因違反州數(shù)據(jù)泄露通知法而被罰款 1.48 億美元，是當(dāng)時(shí)歷史上最大的數(shù)據(jù)泄露罰款。

第四名 萬豪國(guó)際：1.24億美元

GDPR 的罰款就像等公共汽車：半天不來一輛，一來就是兩輛。在對(duì)英國(guó)航空公司 (British Airways) 處以創(chuàng)紀(jì)錄的罰款后幾天，ICO 就因數(shù)據(jù)泄露而再次對(duì)萬豪國(guó)際處以第二筆巨額罰款。

在多達(dá) 5 億客戶的付款信息，姓名，地址，電話號(hào)碼，電子郵件地址和護(hù)照號(hào)碼遭到泄露后，萬豪國(guó)際酒店集團(tuán)被罰款 9900 萬英鎊（約合1.24億美元）。攻擊者在喜達(dá)屋網(wǎng)絡(luò)上潛伏了長(zhǎng)達(dá)四年的時(shí)間，而在萬豪于 2015 年將其收購(gòu)后，攻擊持續(xù)了大約三年。

根據(jù) ICO 的聲明，萬豪 “在收購(gòu)喜達(dá)屋時(shí)未進(jìn)行充分的盡職調(diào)查，信息安全方面工作欠缺。” 這家酒店連鎖店還被土耳其數(shù)據(jù)保護(hù)局（不在GDPR立法之下）處以 150 萬里拉（約合265,000美元）的罰款，這凸顯了一次違規(guī)行為可能導(dǎo)致全球范圍內(nèi)的多次罰款。

第五名 雅虎：8500萬美元

2013 年，雅虎因安全漏洞導(dǎo)致大規(guī)模數(shù)據(jù)泄露，影響了大約 30 億個(gè)帳戶（幾乎是整個(gè)互聯(lián)網(wǎng)人口數(shù)）。但是，該公司三年來一直沒有透露這些信息。

2018 年 4 月，美國(guó)證券交易委員會(huì) (SEC) 因未能披露違規(guī)行為對(duì)雅虎公司處以 3500 萬美元的罰款。去年 9 月，雅虎的新任老板 Altaba 承認(rèn)，它已經(jīng)解決了因違規(guī)而導(dǎo)致的集體訴訟，金額高達(dá) 5000 萬美元。

第六名 樂購(gòu)銀行(Tesco Bank)：2,100萬美元

樂購(gòu)銀行是英國(guó)連鎖超市Tesco的零售銀行部門，2016 年該銀行的 9000 個(gè)客戶賬戶累計(jì)被黑客 “擄走” 近 300 萬美元，被英國(guó)金融行為管理局 (FCA) 處以 2120 萬美元罰款。FCA 指責(zé) Tesco在其借記卡設(shè)計(jì)，金融犯罪控制以及其金融犯罪行動(dòng)團(tuán)隊(duì)中存在 “缺陷”。

第七名 Target：1850萬美元

2017 年，零售業(yè)巨頭 Target 同意與 47 個(gè)州和哥倫比亞特區(qū)達(dá)成一項(xiàng) 1850 萬美元的和解協(xié)議，該協(xié)議涉及的數(shù)據(jù)泄露事故發(fā)生在 2013 年感恩節(jié)后的黑色星期五銷售高峰期間，約 4000 萬個(gè)信用卡和借記卡帳戶被盜。后來的調(diào)查發(fā)現(xiàn)，攻擊者還竊取了多達(dá) 7000 萬個(gè)人的姓名，地址，電話號(hào)碼和電子郵件地址。與違規(guī)相關(guān)的總成本超過 2 億美元。

第八名 Anthem：1600萬美元

美國(guó)健康保險(xiǎn)公司 Anthem 在 2015 年遭受數(shù)據(jù)泄露，影響了 7900 萬人。泄露信息包括姓名，生日，社會(huì)保險(xiǎn)號(hào)和醫(yī)療身份證。2018 年 10 月，該公司因違反《健康保險(xiǎn)可攜帶性和責(zé)任法案》(HIPAA) 而被美國(guó)衛(wèi)生與公共服務(wù)部罰款 1600 萬美元。此外，該公司在 2017 年為解決與違規(guī)有關(guān)的集體訴訟支付了 1.15 億美元的賠償。

第九名 1＆1 Telecom：1,060萬美元

發(fā)放 GDPR 罰款單的不僅是英國(guó)的 ICO。德國(guó)網(wǎng)絡(luò)托管公司 1＆1 因未采取 “足夠的技術(shù)和組織措施” 防止未經(jīng)授權(quán)的人員獲得客戶信息訪問權(quán)限而被德國(guó)聯(lián)邦數(shù)據(jù)保護(hù)和信息自由專員 (BfDI) 罰款 955 萬歐元（1,060萬美元）。1&1Telecom 的身份驗(yàn)證過程有嚴(yán)重漏洞，呼叫者只需提供他們目標(biāo)個(gè)人的姓名和生日，就可以獲取其信息。

類似的 GDPR 罰款還包括：對(duì)奧地利郵政部門處以 1800 萬歐元的罰款，以處理數(shù)據(jù)主體的政治從屬關(guān)系；對(duì)德國(guó)房地產(chǎn)公司 Deutsche Wohnen 處以 1,450 萬歐元的罰款，原因是該公司不再使用客戶數(shù)據(jù)后保留了客戶數(shù)據(jù)。

第十名 德克薩斯大學(xué)馬里蘭州安德森癌癥中心：430萬美元

2018 年 6 月，法官維持了對(duì)德克薩斯大學(xué) MD 安德森癌癥中心因違反 HIPAA 規(guī)定而被罰款 430 萬美元的決定。癌癥中心在 2012 年至 2013 年間遭受了 3 次數(shù)據(jù)泄露，導(dǎo)致超過 33,500 個(gè)人的健康信息丟失。

值得注意的是，三次數(shù)據(jù)泄露都是因?yàn)槿藛T安全意識(shí)薄弱：有一次泄露是因?yàn)橐慌_(tái)未加密的筆記本電腦從員工住所被盜。其他兩次則是因?yàn)閬G失未加密的 U 盤。

此次數(shù)據(jù)泄露事故中，平均每個(gè)用戶賬戶數(shù)據(jù)泄露的罰款成本約 128 美元。