数十亿美元又怎样?数据泄露灾难会改变高管对待安全的态度吗?


来源:安全牛    2019-8-5 9:48

2017年的数据泄露事件令Equifax承受了数十亿美元损失、客户赔偿和强制及自愿安全改善。靠客户数据盈利的所有公司企业都应引起注意。

 数十亿美元又怎样?数据泄露灾难会改变高管对待安全的态度吗?

7月22日,Equifax宣布接受金额创纪录的和解协议,了结了这桩导致1.48亿人个人信息及财务记录暴露的大规模数据泄露事件。这家四面楚歌的信用评级机构需支付至少13.8亿美元的消费者索赔金。受泄露事件影响的消费者可得到现金补偿、信用监视和身份恢复帮助,所需资金由该公司投注的3.805亿非复归基金支出。

协议还要求Equifax另外支付1.25亿美元的现金赔偿,且如果报名信用监视的人数超过700万,该公司需支付的数额还将大幅增加。此外,Equifax还需支付1.75亿美元的罚款以平息州检察官的调查,美国消费者金融保护局和联邦贸易委员会(FTC)的调查也需1亿美元平复。

最后,未来五年内,Equifax还必须拿出10亿美元改善其数据安全。而且,这还是在Equifax自事件发生后已在安全及技术方面投入12.5亿美元的基础上。

Equifax数据泄露事件的伤害还在进一步深化

重惩之前,Equifax已遭受了近两年持续不断的打击。数据泄露事件曝光及Equifax自身糟糕的应对工作,导致其首席执行官(CEO)理查德·史密斯(Richard Smith),紧随首席信息官(CIO)大卫·韦伯(David Webb)和首席安全官(CSO)苏珊·默尔丁(Susan Mauldin)的突然解职,离开公司。

6月下旬,因涉嫌在数据泄露事件发现至公开期间进行公司股票内幕交易,Equifax前副总裁兼国际CIO应骏(Jun Ying,音译)被判四个月监禁和偿还约11.7万美元,并被判处5.5万美元罚金。去年10月,前Equifax工程师苏哈卡·雷迪·邦图(Sudhakar Reddy Bonthu)同样被判内幕交易,责令偿还交易所得,只不过邦图只需在家禁足八个月而无需入狱。

5月下旬,投资评级巨头穆迪公司(Moody’s)大幅调低Equifax前景展望,将之从稳定降为负面。这还是穆迪公司首次因网络攻击而调低一家公司的前景级别。对此,穆迪公司给出的解释是:鉴于其2019和2020年数据泄露相关开销可能在4亿美元左右,我们看不到Equifax的未来有任何光明的迹象。

美国众议院监督与政府改革委员会认为Equifax数据泄露事件“完全可以避免”。而对Equifax加以制裁的政府还不止美国一家。

去年9月,英国数据监管机构信息专员办公室(ICO)对Equifax处以50万英镑(66.4万美元)罚款,罪名是未能保护好受该数据泄露事件影响的1,500万英国公民个人数据。

ICO的罚款其实给了Equifax一定的喘息,因为该事件发生得太早,逃过了2018年5月才生效的欧盟《通用数据保护条例》(GDPR)处罚。GDPR的金融处罚规定可是比ICO严厉得多。按GDPR最高4%全球营业额的处罚规定,Equifax可遭致约1.36亿美元罚款,与近期ICO对另外两家企业开出的数据泄露罚单持平。

7月初,ICO宣布计划罚去英国航空公司1.83亿英镑(约2.3亿美元),因为2018年6月开始的数据泄露事件中该航空公司约50万客户的个人数据被盗,被盗数据中甚至还包括了支付卡数据。还是在7月初,ICO宣称要对美国酒店业巨头万豪国际处以9,920万英镑(约1.23亿美元)罚款,缘由是一起2018年发现但可追溯至2014年的数据泄露事件。该事件影响万豪旗下喜达屋酒店集团,暴露了约3.39亿顾客的隐私数据。

罚款并不能改善安全

尽管近期出现了如此多罚金高昂的大型数据泄露事件,信息安全人员仍然心知肚明:绝大多数首席高管,尤其是Equifax、英国航空和万豪集团之类的大企业,还是不会对网络安全投注必要的重视以规避此类金融处罚。增加对安全疏漏的曝光度及处罚力度,是否能推动企业寻求更严格的安全措施,是否能“逼迫”企业投资更好的数字安全防护,仍是未知数。

Tripwire近期在推特上发起了一场关于“合规罚金力度”的调查。结果显示,约有45%的人认为惩罚金额合适,几乎同样数量的受访者(43%)则认为远远不够;仅有12%认为处罚的力度过大。同时,有超过半数(52%)的参与者表示,认为这些惩罚会让企业在安全性方面的策略和做法做出些许改变;但也有22%的受访者认为,这些惩罚无足轻重。此外,71%的受访者表示,不会因为相关合规要求的惩罚而提升对企业在个人隐私保护方面的信心。

网络安全及取证公司Enterprise Knowledge Partners创始人玛丽·T·弗兰兹(Mary T.Frantz)是Equifax消费者集体诉讼的一名专家证人。她在声明中称,造成重大伤害的数据泄露事件刺激企业增大网络安全投资的力量在事情曝光当时激增。但随着时间的流逝,这种效果也会逐渐枯竭。

弗兰兹在和解协议的声明中写道:很多行业都存在一种现象,数据泄露发生后的一段时间里,企业向信息安全部门投入大量资金。但在一两年后,这些企业就开始大幅缩减信息安全投资,而且常常是在计划好的安全改善尚未完成之前就开始缩减了。

Equifax承诺未来五年内将投注10亿美元用以改善安全,弗兰兹为此制定了宏大的规划。因为注意到Equifax的事前网络安全控制措施未达行业标准,弗兰兹给出的建议是从基于美国国家标准与技术局(NIST)的全面安全计划开始整顿该公司现存的不足。

Equifax教训值得深思

Equifax案代表消费者的首席律师之一诺姆·西格尔(Norm Siegel)认为,安全人员和高管应深刻汲取Equifax数据泄露事件的教训。

我们成功收获了有意义的安全改善,包括受法庭指令支持的大笔资金承诺,这是该和解协议有望遏制管理层安全忽视的另一重要方面。

若不留心Equifax安全失策的教训,可能会有更多公司企业步Equifax后尘,遭遇更大型的法律诉讼。Equifax和解案的另一名首席律师艾米·凯勒(Amy Keller)表示:消费者保护律师是让公司企业担责的重要人物。

和解协议表明消费者拒绝接受数据泄露事件将是‘新常态’,达成和解不仅补偿了消费者因数据泄露而损失的时间与金钱,也确保消费者未来有必要的工具可以保护自身。

在凯勒看来,该事件传达的消息非常明确:只要公司企业以数据盈利,他们就有责任保护好那些据。

美国众议院监督与政府改革委员会的Equifax报告:

https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf

关于本站联系我们手机版
Copyright © 2019 安知讯 粤ICP备11061396号-7 粤公网安备 44030602001878号