因安全措施不当、掩盖真相或无心之失而导致的黑客入侵及数据盗窃事件,令涉事企业和机构损失共计近12亿美元之多,且这一数字还在继续增长。
2019年数据泄露事件相关巨额罚金,显示出监管机构对未恰当保护消费者数据的企业和机构是越来越严厉了。万豪集团因万豪酒店数据泄露事件遭罚1.24亿美元,而信用评级公司Equifax同意支付至少5.75亿美元解决其2017年数据泄露事件。
而且,2018年也不平静。2016年数据泄露事件的糟糕应对令Uber损失近1.5亿美元。缺乏防护却监管严格的医疗数据也令医疗机构在2018年损失惨重,美国卫生及公众服务部因而收到了越来越多的罚金。
Equifax:5.75亿美元(至少)
2017年,因某个数据库中存在Apache Struts框架未修复漏洞,Equifax泄出近1.5亿人的个人信息及财务数据。该公司不仅在补丁发布几个月后尚未修复此关键漏洞,且在发现数据泄露后数周都未公布此事。
2019年7月,这家信用评级机构同意支付5.75亿美元(可能升至7亿美元),就“未能采取合理措施保护自身网络”的过错,与美国联邦贸易委员会(FTC)、消费者金融保护局(CFPB), 以及全美50个州及地区达成和解。
其中3亿美元将流入基金,用来支持受影响消费者的信用监视服务费用(如果首笔付款不足以补偿消费者,还将另加1.25亿美元);1.75亿美元支付给美国48个州、美属哥伦比亚及波多黎各地区;剩下1亿美元交付CFPB。该和解协议还要求Equifax每两年对其信息安全项目进行一次第三方评估。
FTC主席乔·西蒙斯(Joe Simons)称:“以个人信息盈利的公司企业有额外的责任保护这些数据。原本只要采取基本的保护措施就能防止这1.47亿消费者遭遇数据泄露,Equifax却连这基本的防护都没做到。”
Equifax此前已因2017年数据泄露事件在英国遭罚50万英镑(约合62.5万美元),这是GDPR生效前根据《数据保护法案 1998 》所能做出的最高罚款。
Uber:1.48亿美元
2016年,打车应用Uber遭黑客攻击,60万司机和5,700万用户账户信息失窃。Uber没有报告该事件,而是支付作恶者10万美元封口费来掩盖事实。但世上没有不透风的墙,数据泄露事件曝光后,Uber被罚得更惨。2018年,Uber因违反州数据泄露通告法律而被罚1.48亿美元——当时史上最高额的数据泄露罚款。
万豪国际:1.24亿美元
GDPR罚款跟公共汽车似的:好长时间等不来一辆,一来就两辆连发。英国航空公司遭遇史上最重罚金之后几天,信息专员办公室(ICO)又对另一起数据泄露开出巨额罚单。
因多达5亿客户的支付信息、姓名、地址、电话号码、电子邮件地址和护照号等信息被泄,万豪国际被罚9,900万英镑(约合1.24亿美元)。该起数据泄露的根源在万豪的喜达屋子公司:攻击者在喜达屋网络中驻留长达4年之久,其中3年是在万豪于2015年收购了喜达屋之后。
ICO的声明显示,万豪“在收购喜达屋时未能履行充分的尽职审查义务,系统防护工作也没做到位。”万豪首席运营官艾恩·索伦森(Arne Sorenson)对该处罚表示“失望”,并称该公司计划提起抗诉。
此外,土耳其数据保护机构也对该连锁酒店巨头处以了150万里拉(约合26.5万美元)的罚款(并非GDPR处罚),显示出同一起数据泄露可遭致全球多方处罚。
雅虎:8500万美元
2013年,雅虎遭遇了影响其整个数据库的超大型安全事件,约30亿账户信息被泄,几乎涵盖当时所有Web用户。然而,该公司隐瞒此事达三年之久。
2018年4月,美国证券交易委员会(SEC)以未披露数据泄露事件为由,罚取该公司3,500万美元。9月,雅虎新老板Altaba承认,雅虎以5,000万美元达成和解协议,解决该数据泄露引发的集体诉讼。
30亿账户泄露耗费8,500万美元解决,每条记录0.028美元。
Capital One:8000万美元
2019年,Captial One银行遭受数据泄露,影响1亿美国人和600万加拿大人。该公司宣称,一名“外部人士”(后来确认是前亚马逊网络服务软件工程师佩吉·汤普森(Paige Thompson))通过公司网络应用防火墙(WAF)中的配置漏洞获取了Capital One信用卡客户和信用卡产品申请人的个人信息。
被盗信息包括姓名、地址、邮政编码、电话号码、电子邮件地址、出生日期、自行报告的收入,以及信用评分、信用额度、余额、付款历史记录、联系信息、交易数据片段、一些社会安全号和银行帐号。
因为“在将运营迁移到公有云环境时,未能建立有效的风险评估流程”,以及“未能及时纠正疏漏”,美国通货监理署对Capital One处以8000万美元罚款。
摩根士丹利:6000万美元
尽管没有发生数据泄露,没能执行稳健的硬件报废流程还是让摩根士丹利因未能达到监管机构的预期而遭遇了处罚。2020年10月,美国通货监理署(OCC)对该银行处以6000万美元罚款,理由是该银行未能在2016年恰当报废硬件,而这些硬件中含有该行两个美国数据中心的财富管理数据。
据OCC透露,该银行“未能对数据中心的硬件报废过程进行适当监督”。列出的问题包括未能有效评估或解决与硬件报废相关的风险、缺乏有关使用第三方供应商或监控供应商绩效的风险评估和尽职调查,以及未能恰当掌握设备上存储有哪些客户数据。
OCC表示,该行在2019年就在大范围应用服务设备的报废方面遭遇了类似的供应商管理控制缺陷,但承认摩根士丹利自此已进行纠正动作,并“承诺”采取必要和恰当的措施纠正这些缺陷。
虽然摩根士丹利已发表声明,表示不认为客户信息因其此前的做法而遭到非法访问或滥用,但因为监管失策,该公司仍然面临着500万美元的数据泄露诉讼。
英国航空公司:2620万美元
尽管潜在罚金数额很是吓人,欧盟《通用数据保护条例》(GDPR)生效后的一年之内其实并未罚得太狠。欧洲大陆的数据保护公司因数据泄露而支付的罚金也就在几万到几十万欧元之间,通常都与之前的监管规定所处罚金数额相当。但英国航空公司被罚破纪录的1.83亿英镑(约合2.3亿美元)之后,这种情况迅速转变。对英国航空公司开出罚单的是英国数据保护机构信息专员办公室(ICO),原因是Magecart团伙在长达两周的时间里用银行卡信息刮取脚本收获了近50万客户的个人信息及支付数据。
ICO表示,“该公司糟糕的安全设置”导致了数据泄露。英国航空公司处罚案表明,GDPR确实有其效力,而数据保护机构也不吝于行使其权力。鉴于GDPR是让董事会更加重视安全的主要推进力之一,首席安全官(CSO)和隐私/合规负责人也将拥有更大动力去进一步强化自身安全项目。
不过,英国航空公司最终支付的数字已大幅减少。经过几个月的拖延和谈判,ICO将罚款降低到2000万英镑,罪名是“未能保护其40多万客户的个人信息和财务详细信息”。
尽管最终数字低于原先提出的罚金数额,但这仍是ICO有史以来开出的最大罚单,突显了安全措施糟糕的危险。若是遵从英国先前的《数据保护》条例,能够开出的最大罚单是50万英镑。
在英国航空公司最终处罚的通知和其他新冠肺炎疫情指南中,ICO表示,在考虑开出罚单时会考虑“经济影响和负担能力”。这就解释了为什么这家陷入困境的航空公司能够获得这么大的“罚金折扣”。然而,该航空公司今后仍可能面临巨额集体诉讼赔偿要求。
万豪国际曾表示,期待ICO开出的9900万英镑巨额罚款也打个五折,但声明发表以后这家连锁酒店集团又遭遇了一次数据泄露。
乐购银行 (Tesco Bank):2100万美元
乐购银行是英国乐购超市连锁旗下的零售银行,因2016年9000个客户账户共失窃近300万美元,于2018年被英国金融市场行为监管局(FCA)处以1640万英镑(约合2120万美元)罚款。FCA的处罚依据是乐购在借记卡设计、金融犯罪控制上存在“缺陷”,其金融犯罪应对团队也存在能力不足现象。
塔吉特 (Target):1850 万美元
2013年感恩节后的黑色星期五销售旺季期间,零售业巨头塔吉特集团4000万信用卡及借记卡账户信息遭泄露。2017年,塔吉特与美国47个州和哥伦比亚特区达成和解,用1850万美元换来撤诉。后续调查发现,近7000万人的姓名、地址、电话号码和电子邮件地址也被盗了。与该数据泄露事件相关的总开支超过2亿美元。
Anthem:1600万美元
医疗保险公司Anthem在2015年遭遇数据泄露,7900万人受影响。被泄记录包含姓名、生日、社会安全号和医疗ID。2018年10月,美国卫生及公众服务部以HIPAA法案违规为由,对Anthem处以1600万美元罚款。除此之外,2017年的集体诉讼也耗去该公司1.15亿美元方达成和解。
2020年,该公司同意再向部分州支付3950万美元,用以和解数据保护不力所遭到的诉讼,但拒绝为此事件承担责任。该公司在一份声明中称:“Anthem不认为在数据安全方面违反了法律,并且不承认在与州总检察长达成的和解协议中有任何此类违法行为。”
1&1 Telecom:1060万美元
开出GDPR罚单的不仅仅有英国的信息专员办公室(ICO)。因未采取“足够的技术和管理措施”防止未经授权的人员利用客户服务部门访问客户数据,德国网络托管公司1&1被德国数据保护与信息自由联邦专员办公室(BfDI)罚款955万欧元(约合1060万美元)。该公司身份验证过程形同虚设,拨打客服电话的人只需提供姓名和生日,就可以获取其他顾客的信息。
非数据泄露相关原因的其他GDPR高额处罚还包括:奥地利邮政服务因数据主体政治倾向处理问题而遭罚款1800万欧元,德国房地产公司Deutsche Wohnen因超期保留客户数据而被罚款1450万欧元。
谷歌:750万美元
2020年,为和解两起针对Google+安全漏洞的集体诉讼,谷歌同意支付750万美元。这种类型的罚款多为事涉垄断和反垄断。在2018年10月Google+ API曝出可致开发人员能够访问私有数据的漏洞后,这家搜索巨头最初宣布计划关闭Google+社交网络。尽管谷歌声称没有证据表明该漏洞已被利用,但也承认有超过400个应用使用此API,可能影响500,000个帐户。
两个月后,谷歌曝出第二起涉Google+事件,并比原先宣布的时间提前四个月关闭Google+,原因是另一个API问题可致开发人员能够访问5250万用户的私有个人资料信息。(该公司再次表示,不认为此漏洞有任何被利用的迹象。)
2018年时针对Google+漏洞问题提起了两起集体诉讼,但后来合并为一宗。2020年1月此案达成和解协议:2015年1月至2019年4月2日期间持Google+账户而遭信息暴露的所有用户,每人可收到5至12美元之间的赔款。
Premera Blue Cross:685万美元
尽管安全事件层出不穷,在惩罚性罚款方面2020年可谓平静。但在9月,因违反HIPAA法案,总部位于华盛顿的医疗保险公司Premera Blue Cross被罚款685万美元。
在发现该公司发生影响1040万人的数据泄露事件后,美国卫生与公众服务部(HHS)公民权利办公室(OCR)对Premera处以罚款。Premera Blue Cross公司是在2015年3月,网络攻击者已经未授权访问了其系统后提交的数据泄露报告。2014年就开始的网络钓鱼攻击在近9个月时间里一直未被发现,导致超过1040万人的受保护健康信息被泄,包括姓名、地址、出生日期、电子邮件地址、社会安全号、银行账户信息和健康计划临床信息。
OCR的调查发现该公司“系统性违反” HIPAA法案要求,包括未进行风险分析、未实施风险管理,或未实施审计控制。这些安全败笔让OCR录得迄今为止的第二大HIPAA罚款。
美国得克萨斯大学MD安德森癌症中心:430万美元
2018年6月,一名法官坚持判美国得克萨斯大学MD安德森癌症中心违反HIPAA法案,决意判罚该中心支付430万美元罚金。该癌症中心在2012至2013年间遭遇三起数据泄露,造成超3.35万人医疗信息泄露。其中一起是因未加密的笔记本电脑在某员工家中被盗。其他两起数据泄露则是未加密U盘失窃。
费森尤斯医疗北美:350万美元
又是HIPAA法案违规。2018年2月,费森尤斯医疗北美(FMCNA)遭遇350万美元罚单,原因是2012年2月至7月间在公司多个地点发生五起数据泄露。美国健康、教育与福利部所属民权办公室开展的调查发现,FMCNA“未能准确而彻底地分析其不同实体所存全部医疗信息的保密性、完整性和可用性存在的潜在风险与漏洞”。
其失误包括:未防止设施设备未授权访问、未加密医疗数据、未监管存有医疗数据之电子媒介的卸载或移除动作,以及缺乏安全事件处置规程。
Cottage Health,、Touchstone医学影像和罗切斯特大学医学中心(URMC):每家300万美元
2019年见证了三起重大HIPAA违规处罚,Cottage Health和Touchstone医学影像各300万美元。
Cottage Health因2013年和2015年的两次受保护电子医疗信息(ePHI)泄露而被罚,其泄露影响6.25万人。两起事件中,存有受保护电子医疗信息的服务器均被黑客通过互联网加以访问。
位于田纳西州的Touchstone医学影像,则是因将超30万患者的受保护医疗信息(PHI)置于暴露在公网的FTP服务器上而被罚。Touchstone曾在2014年收到过FBI对该服务器暴露情况的通告,但坚称自己没有暴露任何患者的PHI。
美国卫生及公众服务部(HHS)发现,Touchstone“直到FBI和民权办公室都向其通报该泄露情况后数月,才开始认真调查该安全事件”。而且,HHS称,Touchstone向受影响个人发出数据泄露通报的动作“很不及时”,“未能执行对潜在风险的准确全面分析”,该公司“与其供应商之间未签署业务伙伴协议(BAA)”。
2019年11月,罗切斯特大学医学中心(URMC)也因未加密移动设备而遭罚款300万美元。该中心包含医学医学与牙科学校和思创纪念医院,在2013年遗失了一块未加密闪盘,2017年遗失了一台未加密笔记本电脑。尽管之前已于2010年报告过因未加密硬盘导致的数据泄露,URMC还是因未恰当保护个人医疗信息而遭到处罚。
杰克逊卫生系统(Jackson Health System):215万美元
又一起HIPAA违规案,这次是在佛罗里达州运营着数家医院和护理中心的迈阿密非营利性学术医疗系统Jackson Health System(JHS)。JHS在2013至2016年间被DHS就一系列事件罚款215万美元。
尽管在2013年向DHS报告了756位患者纸质医疗记录遗失事件,但内部调查后发现,JHS漏报了另外三箱病历遗失一事。2015年,JHS发现两名雇员出于与工作无关的目的访问了一名患者的电子医疗记录。2016年,在发现一名雇员自2011年起共售卖2.4万名患者医疗记录后,JHS报告了这一数据泄露事件。
四家英国公司堪称侥幸
2018年,英国信息专员办公室(ICO)依据GDPR生效之前的《数据保护法案》,对两家公司的数据保护不当行为开出了该法案所支持的最高额罚款:50万英镑(约合65万美元)。若是在GDPR生效之后,处罚金额就会高得多了。Facebook是在10月因剑桥分析公司数据丑闻而遭受制裁,Equifax则是在9月为其2017年的数据泄露买单。
2020年初,也就是GDPR生效近两年之后,监管机构遵从旧《数据保护法案》(DPA)又处罚了两家公司。因旗下Currys电脑世界和Dixons旅游门店的5000多台机器上检出销售终端恶意软件,英国零售商DSG零售有限公司遭到处罚。然而,由于攻击始于2017年7月,早于GDPR生效时间,尽管攻击者在2018年5月新规实施之后仍在收集信息,该公司却是按照旧法案处以最高50万英镑的罚款。
此案例中,攻击者未授权获取了560万支付卡详细信息和约1400万人的个人信息,包括全名、邮政编码、电子邮件地址和内部服务器信用检查失败信息。英国信息专员办公室(ICO)宣称,该公司“安全安排薄弱”,未能采取足够的措施保护个人数据,包括未及时修复漏洞、缺乏本地防火墙、缺少网络分隔,以及未安排定期安全测试。ICO之前就在2018年1月因同样的安全问题处罚了DSG旗下的Carphone Warehouse,罚金40万欧元(约合52万美元)。
2020年3月,中国国泰航空公司因“未能保护客户个人数据安全”而被处以DPA最高罚金。ICO判定,国泰航空的系统在2014年10月至2018年5月期间缺乏“恰当的安全措施”,造成客户个人信息暴露。
关键词:数据泄露;安全处罚
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。