過去十年數據泄露巨額罰款TOP10
2019 年多家企業的數據泄露事故被處以巨額罰款,這表明監管機構對那些未能妥善保護消費者數據的組織的容忍度越來愈低。在英國,英國航空公司遭受了創紀錄的 2.3 億美元罰款,緊隨其后的是對萬豪集團的 1.24 億美元罰款。而在美國,Equifax 同意為其 2017 年的違規行為支付至少 5.75 億美元。
值得注意的是,罰款在企業數據泄露損失中所占的比例很少,根據卡巴斯基 2019 年的企業數據泄露成本分析報告(下圖),企業數據泄露事故損失的前五項分別是:信用/保險損失、外部專家招聘、業務損失、公關成本和內部(安全崗位)加薪。
以額外的(安全崗位)加薪為例,Equifax 的 CISO 在數據泄露事故發生前年薪只有幾十萬美元,但在大規模數據泄露事故后,該崗位薪水立刻飆升到了近 300 萬美元。
因此,當我們觀摩下面這個數據泄露罰款 TOP10 榜單時,應當清楚這些罰款金額只是企業數據泄露總體成本的一小部分。
第一名 Equifax:高于5.75億美元
2017 年,由于一個數據庫未及時安裝 Apache Struts 框架的嚴重漏洞補丁,Equifax 損失了近 1.5 億條個人和財務信息。
2019 年 7 月,Equifax 同意向聯邦貿易委員會,消費者金融保護局 (CFPB) 以及美國所有 50 個州和地區就該公司的“事故” 支付 5.75 億美元,可能增至 7 億美元。并承諾采取合理的方法來保護其網絡。
第二名 英國航空:2.3億美元
過去一年中歐盟《通用數據保護條例》(GDPR) 的懲罰措施大多較輕,對歐洲大陸企業與數據泄露有關的罰款通常不超過數十萬歐元。
當大家都以為 GDPR 的威懾力將逐漸消失時,英國航空接到了創紀錄的 1.83 億英鎊(約合2.3億美元)的罰單,這是迄今為止最高的數據泄露罰款,超過了優步在 2018 年支付的 1.48 億美元。根據 ICO 的調查,英國航空此次數據泄露事故源于糟糕的安全管理,對第三方供應商腳本的安全審核疏忽。顯然,GDPR 已成為將安全性提高到董事會議事日程的主要驅動力之一。
第三名 Uber:1.48億美元
2016 年,網約車平臺 Uber 泄露了 60 萬司機和 5700 萬用戶帳戶信息。該公司沒有披露該事件,而是向肇事者支付了 10 萬美元,試圖瞞天過海。但是,這些行為使公司付出了沉重的代價。該公司在2018年因違反州數據泄露通知法而被罰款 1.48 億美元,是當時歷史上最大的數據泄露罰款。
第四名 萬豪國際:1.24億美元
GDPR 的罰款就像等公共汽車:半天不來一輛,一來就是兩輛。在對英國航空公司 (British Airways) 處以創紀錄的罰款后幾天,ICO 就因數據泄露而再次對萬豪國際處以第二筆巨額罰款。
在多達 5 億客戶的付款信息,姓名,地址,電話號碼,電子郵件地址和護照號碼遭到泄露后,萬豪國際酒店集團被罰款 9900 萬英鎊(約合1.24億美元)。攻擊者在喜達屋網絡上潛伏了長達四年的時間,而在萬豪于 2015 年將其收購后,攻擊持續了大約三年。
根據 ICO 的聲明,萬豪 “在收購喜達屋時未進行充分的盡職調查,信息安全方面工作欠缺。” 這家酒店連鎖店還被土耳其數據保護局(不在GDPR立法之下)處以 150 萬里拉(約合265,000美元)的罰款,這凸顯了一次違規行為可能導致全球范圍內的多次罰款。
第五名 雅虎:8500萬美元
2013 年,雅虎因安全漏洞導致大規模數據泄露,影響了大約 30 億個帳戶(幾乎是整個互聯網人口數)。但是,該公司三年來一直沒有透露這些信息。
2018 年 4 月,美國證券交易委員會 (SEC) 因未能披露違規行為對雅虎公司處以 3500 萬美元的罰款。去年 9 月,雅虎的新任老板 Altaba 承認,它已經解決了因違規而導致的集體訴訟,金額高達 5000 萬美元。
第六名 樂購銀行(Tesco Bank):2,100萬美元
樂購銀行是英國連鎖超市Tesco的零售銀行部門,2016 年該銀行的 9000 個客戶賬戶累計被黑客 “擄走” 近 300 萬美元,被英國金融行為管理局 (FCA) 處以 2120 萬美元罰款。FCA 指責 Tesco在其借記卡設計,金融犯罪控制以及其金融犯罪行動團隊中存在 “缺陷”。
第七名 Target:1850萬美元
2017 年,零售業巨頭 Target 同意與 47 個州和哥倫比亞特區達成一項 1850 萬美元的和解協議,該協議涉及的數據泄露事故發生在 2013 年感恩節后的黑色星期五銷售高峰期間,約 4000 萬個信用卡和借記卡帳戶被盜。后來的調查發現,攻擊者還竊取了多達 7000 萬個人的姓名,地址,電話號碼和電子郵件地址。與違規相關的總成本超過 2 億美元。
第八名 Anthem:1600萬美元
美國健康保險公司 Anthem 在 2015 年遭受數據泄露,影響了 7900 萬人。泄露信息包括姓名,生日,社會保險號和醫療身份證。2018 年 10 月,該公司因違反《健康保險可攜帶性和責任法案》(HIPAA) 而被美國衛生與公共服務部罰款 1600 萬美元。此外,該公司在 2017 年為解決與違規有關的集體訴訟支付了 1.15 億美元的賠償。
第九名 1&1 Telecom:1,060萬美元
發放 GDPR 罰款單的不僅是英國的 ICO。德國網絡托管公司 1&1 因未采取 “足夠的技術和組織措施” 防止未經授權的人員獲得客戶信息訪問權限而被德國聯邦數據保護和信息自由專員 (BfDI) 罰款 955 萬歐元(1,060萬美元)。1&1Telecom 的身份驗證過程有嚴重漏洞,呼叫者只需提供他們目標個人的姓名和生日,就可以獲取其信息。
類似的 GDPR 罰款還包括:對奧地利郵政部門處以 1800 萬歐元的罰款,以處理數據主體的政治從屬關系;對德國房地產公司 Deutsche Wohnen 處以 1,450 萬歐元的罰款,原因是該公司不再使用客戶數據后保留了客戶數據。
第十名 德克薩斯大學馬里蘭州安德森癌癥中心:430萬美元
2018 年 6 月,法官維持了對德克薩斯大學 MD 安德森癌癥中心因違反 HIPAA 規定而被罰款 430 萬美元的決定。癌癥中心在 2012 年至 2013 年間遭受了 3 次數據泄露,導致超過 33,500 個人的健康信息丟失。
值得注意的是,三次數據泄露都是因為人員安全意識薄弱:有一次泄露是因為一臺未加密的筆記本電腦從員工住所被盜。其他兩次則是因為丟失未加密的 U 盤。
此次數據泄露事故中,平均每個用戶賬戶數據泄露的罰款成本約 128 美元。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
