对2019年数据泄露事件进行的大规模罚款评估表明,监管机构对那些不能正确保护消费者数据的组织越来越认真。在英国,英国航空公司遭受了创纪录的2.3亿美元罚款,紧随其后的是万豪的1.24亿美元罚款,而在美国,Equifax同意为2017年的数据泄露支付至少5.75亿美元。
这是在2018年活跃之后。优步对其2016年违规行为的处理成本接近1.5亿美元。受到严重保护和严格管制的健康数据也使医疗设施损失惨重,导致美国卫生和人类服务部开出越来越大的罚单。
Equifax:(至少)5.75亿美元
2017年,由于其数据库中未修补的Apache Struts框架,Equifax失去了近1.5亿人的个人和财务信息。该公司在发布修补程序数月后未能修复一个关键漏洞,然后在发现该漏洞数周后未能通知公众该漏洞。
2019年7月,Equifax同意支付5.75亿美元 - 可能增加到7亿美元 - 与联邦贸易委员会,消费者金融保护局(CFPB)和美国所有50个州和地区达成和解。采取合理措施保护其网络安全。“
其中3亿美元将用于向受影响消费者提供信用监控服务的基金(如果初始付款不足以补偿消费者,还将增加1.25亿美元),1.75亿美元将用于48个州,哥伦比亚特区和波多黎各,还有1亿美元将捐给CFPB。和解还要求公司每两年对其信息安全计划进行第三方评估。
“从个人信息中获利的公司有额外的责任来保护和保护这些数据,”FTC主席Joe Simons说。“Equifax未能采取可能阻止影响大约1.47亿消费者的违规行为的基本步骤。”
对于2017年的违规行为,Equifax已经在英国被罚款50万英镑,这是1998年前一版GDPR数据保护法案允许的最高罚款额。
英国航空公司:2.3亿美元
尽管对可能出现的罚款规模存在各种威胁和恐慌,但欧盟通用数据保护条例(GDPR)的前12个月在惩罚行动方面的影响相对较小。欧洲大陆数据保护公司发布的与数据泄露相关的罚款数十或相当低,数十万欧元,并且通常与公司根据先前规定接收的发现类型一致。
英国航空公司被罚款创纪录的1.83亿英镑(约合2.3亿美元),这是迄今为止最高的数据泄露罚款,超过了2018年优惠的1.48亿美元。英国航空公司被英国数据保护机构ICO罚款,在Magecart黑客组织使用卡片浏览脚本在两周内收集多达500,00个客户的个人和支付数据之后。
ICO表示,其调查发现“该公司的网络安保措施不良”导致了数据泄露。广管局罚款表明GDPR确实有真正实施,数据保护当局并不害怕行使其权力。鉴于GDPR已经成为推动安全性提高议事程序的主要推动因素之一,这将为公民社会组织和隐私/合规提供新的动力,以进一步加强其安全计划。
优步:1.48亿美元
2016年,Uber有超过600,000名司机和5700万用户帐户遭到破坏。该公司没有报告此事件,而是向犯罪者支付了10万美元,以防止黑客入侵。然而,这些行动让公司付出了沉重的代价。该公司在2018年被罚款1.48亿美元 - 这是当时历史上最大的数据泄露罚款 - 因为违反了州数据泄露通知法。
万豪国际集团:1.24亿美元
GDPR罚款就像公共汽车:你等待一年,然后两个同时出现。就英国航空公司(British Airways)罚款几天后,ICO就数据泄露事件开出了第二笔巨额罚单。
在支付信息,姓名,地址,电话号码,电子邮件地址和最多5亿客户的护照号码受到损害后,万豪国际集团被罚款9900万英镑[约1.24亿美元]。违规的来源是万豪的子公司喜达屋;据认为,攻击者在喜达屋网络内潜伏长达四年之久,并且在2015年被万豪购买之后又是三年。
根据ICO的声明,万豪“购买喜达屋时未能进行充分的尽职调查,并且还应该采取更多措施保护其系统。”万豪首席执行官Arne Sorenson表示,公司对罚款“感到失望”,并计划对罚款进行抗辩。
该连锁酒店还被土耳其数据保护机构(不是根据GDPR法规)罚款150万里拉(约265,000美元),显示了一次数据泄露可能导致全球多次罚款。
雅虎:8500万美元
2013年,雅虎遭遇了大规模的安全漏洞,影响了整个数据库,大约30亿个账户 - 几乎占据了整个网络。但是,该公司三年来没有透露这些信息。
2018年4月,美国证券交易委员会(SEC)因未能披露违规行为而对该公司罚款3500万美元。2018年9月,雅虎的新老板Altaba承认已经解决因泄露数据而引发的集体诉讼。
特易购银行:2100万美元
英国超市连锁店的零售银行部门特易购银行(Tesco Bank)在2018年遭到英国金融行为监管局(FCA)的1640万英镑(2120万美元)罚款,黑客2016年从9,000个客户账户中偷走了不到300万美元。FCA指控Tesco在设计借记卡,金融犯罪控制和金融犯罪业务团队方面存在“缺陷”。
塔吉特:1850万美元
2017年,零售业巨头Target同意与47个州和哥伦比亚特区达成1850万美元的和解协议,涉及2013年的数据泄露,其中约4,000万个信用卡和借记卡账户在感恩节后的黑色星期五销售热潮中被盗。后来的调查还发现了多达7000万人的姓名,地址,电话号码和电子邮件地址。相关的总成本超过2亿美元。
Anthem:1600万美元
美国健康保险公司Anthem在2015年遭遇了数据泄露,影响了7900万人。数据泄露包括姓名,出生日期,社会安全号码和医疗证件。2018年10月,该公司因违反健康保险流通与责任法案(HIPAA)而被美国卫生与人类服务部罚款1600万美元。除了公司在2017年必须支付的1.15亿美元以解决与数据泄露有关的集体诉讼外,还有罚款。
德克萨斯大学MD安德森癌症中心:430万美元
2018年6月,一名法官维持了对德克萨斯大学MD安德森癌症中心罚款430万美元违反HIPAA的决定。癌症中心在2012年至2013年期间遭受了三次数据泄露,导致超过33,500人的健康信息丢失。在一个案例中,未加密的笔记本电脑从员工的住所被盗。另外两个漏洞涉及丢失未加密的USB。
费森尤斯医疗北美:350万美元
HIPAA再次失败。2018年2月,Fresenius Medical Care North America(FMCNA)在2012年2月至7月期间在不同公司地点遭受五次数据泄露后,被罚款350万美元。民权办公室的一项调查发现FMCNA没有“行为”对其存储在不同实体中的所有健康信息的机密性,完整性和可用性的潜在风险和漏洞进行准确而全面的风险分析。“
这些故障包括不防止未经授权访问设施和设备,未能加密健康数据,不管理删除保存健康数据的电子媒体,以及缺乏安全事件程序。
Cottage Health和Touchstone医学影像:各300万美元
2019年已经看到两起大型HIPAA数据泄露; Cottage Health和Touchstone医学影像各300万美元。
Cottage Health被罚款两次 - 一次在2013年,另一次在2015年 - 导致电子保护健康信息(ePHI)影响超过62,500人被泄露。这两起事件都涉及通过互联网访问ePHI的服务器。
总部位于田纳西州的Touchstone医学影像公司通过暴露的FTP服务器在线泄露超过300,000名患者的数据。Touchstone在2014年接到了有关此次暴露的通知,但声称没有患者PHI暴露。
美国卫生与人类服务部(HHS)发现,Touchstone“在通知FBI和OCR违规行为几个月后,并没有彻底调查安全事件。”此外,HHS表示通知受影响的人该漏洞“不合时宜”,Touchstone“未能对潜在风险进行准确而彻底的风险分析”,该公司“未能与其供应商达成业务伙伴协议”。
Equifax和Facebook:各650,000美元
Equifax和Facebook可以算是幸运的。2018年,英国信息专员办公室根据GDPR数据保护法案对两家公司的数据泄露进行了罚款,其中最高罚款仅为50万英镑(约合650,000美元)。如果根据最新GDPR,处罚可能会高得多。Facebook在10月份因剑桥Analytica数据丑闻而受到抨击,而Equifax在9月份因其2017年的数据泄露被开罚单。
https://www.csoonline.com/article/3410278/the-biggest-data-breach-fines-penalties-and-settlements-so-far.html
声明:本文来自CyberRisk赛伯瑞斯克,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
