2019 年多家企业的数据泄露事故被处以巨额罚款,这表明监管机构对那些未能妥善保护消费者数据的组织的容忍度越来愈低。在英国,英国航空公司遭受了创纪录的 2.3 亿美元罚款,紧随其后的是对万豪集团的 1.24 亿美元罚款。而在美国,Equifax 同意为其 2017 年的违规行为支付至少 5.75 亿美元。
值得注意的是,罚款在企业数据泄露损失中所占的比例很少,根据卡巴斯基 2019 年的企业数据泄露成本分析报告(下图),企业数据泄露事故损失的前五项分别是:信用/保险损失、外部专家招聘、业务损失、公关成本和内部(安全岗位)加薪。
以额外的(安全岗位)加薪为例,Equifax 的 CISO 在数据泄露事故发生前年薪只有几十万美元,但在大规模数据泄露事故后,该岗位薪水立刻飙升到了近 300 万美元。
因此,当我们观摩下面这个数据泄露罚款 TOP10 榜单时,应当清楚这些罚款金额只是企业数据泄露总体成本的一小部分。
第一名 Equifax:高于5.75亿美元
2017 年,由于一个数据库未及时安装 Apache Struts 框架的严重漏洞补丁,Equifax 损失了近 1.5 亿条个人和财务信息。
2019 年 7 月,Equifax 同意向联邦贸易委员会,消费者金融保护局 (CFPB) 以及美国所有 50 个州和地区就该公司的“事故” 支付 5.75 亿美元,可能增至 7 亿美元。并承诺采取合理的方法来保护其网络。
第二名 英国航空:2.3亿美元
过去一年中欧盟《通用数据保护条例》(GDPR) 的惩罚措施大多较轻,对欧洲大陆企业与数据泄露有关的罚款通常不超过数十万欧元。
当大家都以为 GDPR 的威慑力将逐渐消失时,英国航空接到了创纪录的 1.83 亿英镑(约合2.3亿美元)的罚单,这是迄今为止最高的数据泄露罚款,超过了优步在 2018 年支付的 1.48 亿美元。根据 ICO 的调查,英国航空此次数据泄露事故源于糟糕的安全管理,对第三方供应商脚本的安全审核疏忽。显然,GDPR 已成为将安全性提高到董事会议事日程的主要驱动力之一。
第三名 Uber:1.48亿美元
2016 年,网约车平台 Uber 泄露了 60 万司机和 5700 万用户帐户信息。该公司没有披露该事件,而是向肇事者支付了 10 万美元,试图瞒天过海。但是,这些行为使公司付出了沉重的代价。该公司在2018年因违反州数据泄露通知法而被罚款 1.48 亿美元,是当时历史上最大的数据泄露罚款。
第四名 万豪国际:1.24亿美元
GDPR 的罚款就像等公共汽车:半天不来一辆,一来就是两辆。在对英国航空公司 (British Airways) 处以创纪录的罚款后几天,ICO 就因数据泄露而再次对万豪国际处以第二笔巨额罚款。
在多达 5 亿客户的付款信息,姓名,地址,电话号码,电子邮件地址和护照号码遭到泄露后,万豪国际酒店集团被罚款 9900 万英镑(约合1.24亿美元)。攻击者在喜达屋网络上潜伏了长达四年的时间,而在万豪于 2015 年将其收购后,攻击持续了大约三年。
根据 ICO 的声明,万豪 “在收购喜达屋时未进行充分的尽职调查,信息安全方面工作欠缺。” 这家酒店连锁店还被土耳其数据保护局(不在GDPR立法之下)处以 150 万里拉(约合265,000美元)的罚款,这凸显了一次违规行为可能导致全球范围内的多次罚款。
第五名 雅虎:8500万美元
2013 年,雅虎因安全漏洞导致大规模数据泄露,影响了大约 30 亿个帐户(几乎是整个互联网人口数)。但是,该公司三年来一直没有透露这些信息。
2018 年 4 月,美国证券交易委员会 (SEC) 因未能披露违规行为对雅虎公司处以 3500 万美元的罚款。去年 9 月,雅虎的新任老板 Altaba 承认,它已经解决了因违规而导致的集体诉讼,金额高达 5000 万美元。
第六名 乐购银行(Tesco Bank):2,100万美元
乐购银行是英国连锁超市Tesco的零售银行部门,2016 年该银行的 9000 个客户账户累计被黑客 “掳走” 近 300 万美元,被英国金融行为管理局 (FCA) 处以 2120 万美元罚款。FCA 指责 Tesco在其借记卡设计,金融犯罪控制以及其金融犯罪行动团队中存在 “缺陷”。
第七名 Target:1850万美元
2017 年,零售业巨头 Target 同意与 47 个州和哥伦比亚特区达成一项 1850 万美元的和解协议,该协议涉及的数据泄露事故发生在 2013 年感恩节后的黑色星期五销售高峰期间,约 4000 万个信用卡和借记卡帐户被盗。后来的调查发现,攻击者还窃取了多达 7000 万个人的姓名,地址,电话号码和电子邮件地址。与违规相关的总成本超过 2 亿美元。
第八名 Anthem:1600万美元
美国健康保险公司 Anthem 在 2015 年遭受数据泄露,影响了 7900 万人。泄露信息包括姓名,生日,社会保险号和医疗身份证。2018 年 10 月,该公司因违反《健康保险可携带性和责任法案》(HIPAA) 而被美国卫生与公共服务部罚款 1600 万美元。此外,该公司在 2017 年为解决与违规有关的集体诉讼支付了 1.15 亿美元的赔偿。
第九名 1&1 Telecom:1,060万美元
发放 GDPR 罚款单的不仅是英国的 ICO。德国网络托管公司 1&1 因未采取 “足够的技术和组织措施” 防止未经授权的人员获得客户信息访问权限而被德国联邦数据保护和信息自由专员 (BfDI) 罚款 955 万欧元(1,060万美元)。1&1Telecom 的身份验证过程有严重漏洞,呼叫者只需提供他们目标个人的姓名和生日,就可以获取其信息。
类似的 GDPR 罚款还包括:对奥地利邮政部门处以 1800 万欧元的罚款,以处理数据主体的政治从属关系;对德国房地产公司 Deutsche Wohnen 处以 1,450 万欧元的罚款,原因是该公司不再使用客户数据后保留了客户数据。
第十名 德克萨斯大学马里兰州安德森癌症中心:430万美元
2018 年 6 月,法官维持了对德克萨斯大学 MD 安德森癌症中心因违反 HIPAA 规定而被罚款 430 万美元的决定。癌症中心在 2012 年至 2013 年间遭受了 3 次数据泄露,导致超过 33,500 个人的健康信息丢失。
值得注意的是,三次数据泄露都是因为人员安全意识薄弱:有一次泄露是因为一台未加密的笔记本电脑从员工住所被盗。其他两次则是因为丢失未加密的 U 盘。
此次数据泄露事故中,平均每个用户账户数据泄露的罚款成本约 128 美元。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】