最近很多企业数据泄露事故最终导致集体诉讼,并且,这些数据泄露诉讼还揭示了令人不安的趋势:现在安全问题的成本正在不断增加。
目前并没有重大数据泄露事故进入法庭受审,虽然有些仍然悬而未决,但很多其他数据泄露事故都是选择庭外和解,这给企业带来高昂的损失,所涉企业需要支付数百万美元给原告——无论是客户、员工、银行还是信用卡公司。
与所有法律和解一样,数据泄露事故和解并没有判定谁是罪魁祸首或者透露有关事件本身的实质性的细节信息。但和解费用暗示这些集体诉讼可能在不久的将来造成巨大的数据泄露成本,这涉及到泄露了什么数据、谁收到了影响以及哪些类型的信息被泄露。
无论攻击者尝试从防御很差的POS系统挖掘信用卡数据还是从有漏洞技术(例如物联网IOT)中搜寻个人身份信息(PII),数据泄露事故仍在继续发生,这些诉讼也没有显示放缓的迹象。同时,企业正在以蜗牛的速度提高安全性,防御和处理安全事故的财务费用似乎越来越高,因为数据泄露事故和解费用已经达到惊人的水平。
本文中,让我们来看看这些数据泄露事故诉讼与和解,了解为什么企业在很大程度上发现自己处在这些法律纠纷的劣势以及这对未来企业安全意味着什么。
数据泄露事故诉讼的根源
没有哪家公司可100%抵御网络犯罪分子、黑客和民族国家攻击者,即使部署适当的安全措施,企业仍然需要谨慎行事。专家表示企业必须付出很大努力来保护他们的基础设施,以及保护客户及员工数据,否则将面临严重后果。
安全风险评估公司NetDiligence总裁Dave Chatfiled表示,当涉及到信息安全时,根本没有什么保证。
“安全顾问会让企业客户采取各种安全做法,并让他们相信数据泄露的可能性会随着时间的推移而减少,”Chatfiled表示,“但我不相信会有任何安全供应商对你说,‘我们将保证你永远不会遭到泄露。’”
然而,需要注意的是,遭遇数据泄露的Target等公司自身也有过错,因为他们的信息安全部署并不足够。安全记者Brian Krebs获取了一份内部报告揭露Target公司IT系统中发现的问题,执行这个调查的Verizon安全顾问能够破解86% Target的密码,这让他们可访问内部网络。很多系统都已经过时或者没有修复安全漏洞,并且,通过利用明显的漏洞,这些安全专家可完全访问包含所有敏感数据的网络。
在过去几年内发生的很多重大数据泄露事故都面临集体诉讼,然后庭外和解,从来没有在法庭进行审判。Chatfiled表示,这可能是因为遭遇数据泄露的公司没什么可辩论,例如Target的案件,而庭外和解可让企业快速向前发展,并可能躲过媒体的追逐。
“多年来,我们一直在等待这种集体诉讼可进入法庭审判过程,但有很多原因让所有各方都避免这种结果,可能因为这是最不可预知的结果,”Chatfiled说道,“更有效的方法是在私下处理这些问题,而不是推上法庭。”
数据泄露事故诉讼:新的先例?
信息管理律师Matthew Nelson表示,集体诉讼数据泄露有很高的庭外和解率,这是因为原告都必须展示“他们很可能因数据泄露而受到伤害”。但一张支付卡被盗并不足以支撑一个官司,因为客户声称自己受到的伤害不能太投机。
今年我们看到一个先例:Neiman Marcus数据泄露事故案件。在这个案件中,原告认为其财务数据被盗足以证明他们可能是受到2013年数据泄露事故的影响。最初,美国地方法院法官否决了这个诉讼,其理由是未经授权信用卡收费将会赔偿给受影响的客户,原告并没有表现出受到明显伤害或存在受伤害的风险。
但是,在今年夏天,美国第七巡回法院法官小组推翻了这一判决,并允许Neiman Marcus数据泄露事故诉讼案继续向前推进。该小组的判决表明,这里存在“客观合理的可能性”,个人数据和财务数据被盗可能造成伤害,对欺诈性信用卡扣费的报销并不能保护原告免受其他潜在伤害,例如身份盗窃。Nelson表示,第七巡回法庭的判决对数据泄露事故诉讼可能产生重大影响。
“该法院让这个集体诉讼案继续向前推进,因为客户不应该等到身份盗窃或信用卡盗窃发生后才让原告受到惩罚,”Nelson表示,“这些事情可能会发生,这是非常客观合理的推测。”
在巡回法庭创下的先例可能意味着未来更多的数据泄露事故诉讼进入法庭审判—无论是客户还是员工的数据被泄露,这可能给企业带来更高的数据泄露成本。
数据泄露事故成本比较
如果说,未来将有更多数据泄露诉讼还不足以说明问题,企业数据泄露事故本身正变得越来越普遍。当企业疏于保护客户的个人数据,这会让网络罪犯有机可趁。但专家表示,对大型企业的有针对性攻击更难以检测和防御。
“攻击者使用的技术越来越复杂,这种威胁在不断发展,”Nelson称,“例如,在我们的《互联网安全威胁报告》中,零日漏洞正处于历史高位。只要攻击者成功入侵网络,他们就可在较长时间内不被发现,这意味着他们可做更多的破坏。”
此外,数据泄露诉讼成本可能非常高昂,因为泄露的数据越敏感,和解的费用就越高。在一些情况中,和解费用具体数目都没有公开。例如,在2013年Adobe数据泄露事故中,3800万客户用户名、电子邮件地址、加密的密码和加密的信用卡号码被盗,最后在今年夏天以未知金额在庭外和解。Adobe支付120万美元法律费用作为和解的一部分,但实际支付给客户的数额不详。
其他和解则是公开的,通过观察最近和解的数据泄露诉讼(不同公司规模和行业),泄露的信息类型以及和解数量之间似乎存在相关性。例如,在2012年的LinkedIn数据泄露事故中,650万用户加密密码被盗—随后被黑客破解,这导致该社交网络公司支付125万美元和解费用,这些钱完全分配给80万LinkedIn高级订阅用户。
与此同时,在46万个人信息被盗后,健康保险提供商AvMed公司花费300万美元解决了这个数据泄露集体诉讼案。尽管受影响客户只有LinkedIn的一半,但AvMed支付的和解费用是其两倍,为什么呢?AvMed被盗的数据包括敏感的PII,例如客户的姓名、地址、社会安全号码和医疗信息。
Nelson表示,“被盗数据的价值和和解费用之间存在必然的关联。”
有些数据泄露事故集体诉讼是由客户提出,而还有些则是由银行、信用卡公司和联邦政府提出,下面让我们看看最近的数据泄露和解:
· LinkedIn公司数据泄露事故影响600万用户,其用户名和密码都被泄露。125万美元的和解资金只适用于80万拥有高档订阅的用户。
· 在AvMed数据泄露事故中,超过100万的社会安全号码和医疗记录被泄露,该公司花费310万美元来和解。
· 2013年的Target数据泄露事故影响超过1亿用户,其信用卡号码、姓名、地址、电子邮件地址和电话号码被盗。该零售巨头为客户集体诉讼和解支付1000万美元。
· 在与信用卡公司MasterCard和Visa的两起相关诉讼中,Target公司分别以3900万美元和6700万美元完成和解。该和解协议涵盖对受影响信用卡和借记卡银行和其他金融服务公司的欺诈性收费成本。
· 在这个月,Wyndham酒店及度假村同意为三起数据泄露事故与美国联邦贸易委员会达成和解,据报道,这些泄露事故泄露了客户的信用卡号码。除了支付和解费用,该酒店同意在未来20年都进行年度IT安全审计,包括对PCI DSS合规的审计。
· 在2011年数据泄露事故中2万病人的医疗记录被泄露后,斯坦福大学医院及诊所以410万美元达成庭外和解。
· 2011年索尼PlayStation网络数据泄露事故影响7700万用户,并且泄露了客户姓名和地址、登录凭证及加密的信用卡号码。索尼以1500万美元和解,但该公司否认有任何不当行为。
· 在2014年年底,索尼影视娱乐公司遭受重大数据泄露事故,其中泄露了敏感员工信息,例如PII、工资、犯罪背景调查、绩效评估和内部通信。该工作室最近还以800万美元解决了前雇员提出的诉讼。
· 在线购票供应商Vendini在2013年数据泄露中,信用卡信息、电子邮件地址、电话号码和未公开数量客户的PII遭遇泄露,该公司去年以300万美元完成庭外和解。
· 在2012年年底,连锁超市Schnuck Markets遭遇泄露事故,其中240万客户信用卡信息被泄露,该公司同意以210万美元达成和解。
还有悬而未决的诉讼包括Home Depot、Neiman Marcus、Excellus BlueCross BlueShield、Communicaty Health Systems公司以及美国人事管理局的泄露事故案。最近,拥有婚外情网站Ashley Madison的Avid Life Media公司在去年Ashley Madison臭名昭著的数据泄露事故后,面临来自加拿大法律事务所57800万美元集体诉讼。这个案件带来严重的影响,包括未经证实的自杀报道、勒索以及离婚等。鉴于这个诉讼的规模,这可能让Ashley Madison面临破产。
数据的价格
由于数据泄露现在很普遍,信用卡客户现在已经习惯每年或每两年更换信用卡。信用卡和借记卡号码都有使用期限,因为当这些信息被泄露时,信用卡公司和客户就不需要花时间来替换它们。
“这些信用卡的利用价值会随着时间的推移而下降,而社会安全号码、驾驶证号码或医疗记录的价值则可保持更长的时间,”Chatfiled表示,“这些数据可让攻击者在以后利用,并且,这些数据的准确性并不会随着时间而受到影响。”
尽管在黑市个人身份信息的价格并没有继续上涨,但根据趋势科技2015年的报告显示,PII的平均价格已经从2014年的4美元下降到每行1美元,每行都包含名字、详细地址、出生日期、社会安全号码和其他信息。
这很可能是由于近年来不断增加的数据泄露事故,PII供过于求,更多的数据泄露事故意味着更多的可用数据,这不可避免地会压低价格。
趋势科技公司威胁通信经理Christopher Budd指出,随着对PII的需求降低,黑客会想要更便利、侵入型和有价值的数据。在过去几年中,我们看到的“Target”类型的数据泄露事故将会减少,网络罪犯将会转移到新形势的数据,例如与IoT设备相关的信息,因为这些数据不太安全。
现在不只是企业面临风险,消费者设备IoT的市场正在逐渐发展壮大,消费者同样面临风险。“IoT肯定是隐私数据泄露事故的下一个前线,”Chatfiled称,“如果我们在2018年谈同样的话题,这仍是热门话题,我并不会感到很惊讶。”
IoT引入了数据流、新设备和流量,这些都与家庭个人设备互联,例如灯、安全摄像头、自动调温器、婴儿监视器、门锁、空气质量监控器、活动水平等。不幸的是,由于人们太关注这些漂亮的新玩意,他们并没有考虑安全性。IoT正在以指数速度增长,而安全标准却没有同步发展。
“大家都在急于开发新技术,”Nelson表示,“但有时,安全并没有跟上这种技术发展速度。”
现在,包含某种个人信息的任何事物都有其价值。趋势科技的报告列出了黑市的数据及其价格,例如美国手机账号价格高达14美元,PayPal、eBay、Facebook、FedEx、Netflix和亚马逊被盗的账号可在黑市中购买。PayPal和eBay中成熟的账户售价高达300美元,这意味着它有多年的交易历史记录,而且不太可能被标记为可疑交易。银行账户的登录凭证更加昂贵,在200到500美元之间。信贷报告也可以25美元购买,扫描文件(例如护照和驾驶执照)价格在10到35美元之间。
Chatfiled承认黑市对PII需求降低,并表示对知识产权信息的需求日益增加,“特别是在中国和俄罗斯,来自世界各地的知识产权正成为比信用卡号码更重要的目标。”
除了诉讼和解,数据泄露事故的成本很高昂。这还包括律师费、员工加班费、安装新安全软件、媒体控制、品牌价值损失、网络安全保险费和收入损失。随着每年数据泄露事故诉讼数量的增加,在某个时候,诉讼可能会进入法庭审判,并可能危机企业的未来。即使对于在网络安全投入巨资的公司,都很难满足安全要求、合规措施以及不断变化的威胁。并且,对于这些移动的目标,企业很难(如果不是不可能)确保他们不会面对数据泄露带来的法律行动。