数据泄露罚款< titlesplit >2019年多家公司因数据泄露而被处以巨额罚款,这表明监管机构对未能妥善保护消费者数据的组织的容忍度越来越低。在英国,英国航空公司被处以创纪录的2.3亿美元罚款,随后万豪被罚款1.24亿美元。在美国,Equifax同意为其2017年的违规行为支付至少5.75亿美元。值得注意的是,罚款在企业数据泄露损失中所占比例非常小。根据卡巴斯基2019年企业数据泄露成本分析报告(下图),企业数据泄露损失排名前五的项目是:信用/保险损失、外部专家招聘、业务损失、公关成本和内部(安全职位)加薪。以额外的(安全职位)加薪为例。Equifax的CISO年薪在数据泄露前只有几十万美元,但紧接着大规模数据泄露后,该职位的薪水飙升至近300万美元。因此,当我们查看以下前10名数据泄露罚款列表时,应该清楚这些罚款仅占企业数据泄露总成本的一小部分。排名第一的Equifax:超过5.75亿美元2017年,Equifax丢失了近1.5亿条个人和财务信息,原因是数据库没有及时修补ApacheStruts框架中的严重漏洞。2019年7月,Equifax同意就该公司的“事故”向联邦贸易委员会、消费者金融保护局(CFPB)以及美国所有50个州和地区支付5.75亿美元,最高可达7亿美元。并承诺采取合理措施保护其网络。2.英国航空公司:2.3亿美元过去一年,欧盟《通用数据保护条例》(GDPR)的处罚大多比较轻,欧洲大陆企业因数据泄露而被罚款的金额通常不超过数百数千欧元。就在所有人都认为GDPR的威慑力会逐渐消失时,英国航空公司收到了创纪录的1.83亿英镑(2.3亿美元)罚款,这是迄今为止最大的数据泄露罚款,超过了优步2018年支付的1.48亿美元罚款。根据ICO的调查,英国航空公司的数据泄露源于安全管理不善和对第三方供应商脚本的安全审计疏忽。显然,GDPR一直是将安全问题列入董事会议程的主要推动力之一。No.3Uber:1.48亿美元2016年,叫车平台Uber泄露了60万名司机和5700万用户账户信息。该公司没有披露该事件,而是向肇事者支付了100,000美元以试图隐瞒此事。然而,这些行动让公司付出了沉重的代价。该公司在2018年因违反州数据泄露通知法而被罚款1.48亿美元,这是当时历史上最大的数据泄露罚款。No.4万豪国际:1.24亿美元的GD??PR罚款就像等公交车:一个人半天不来,就会有两个人来。在对英国航空公司处以创纪录的罚款几天后,ICO以数据泄露为由对万豪国际集团处以第二次巨额罚款。在多达5亿客户的付款信息、姓名、地址、电话号码、电子邮件地址和护照号码遭到泄露后,万豪国际集团被罚款9900万英镑(1.24亿美元)。攻击者潜伏在喜达屋网络长达四年之久,距万豪2015年收购喜达屋后约三年。根据ICO的说法,万豪“在收购喜达屋时没有进行充分的尽职调查,缺乏信息安全保障”。美元),强调一次违规如何在全球范围内导致多项罚款。5.雅虎:8500万美元2013年,雅虎因安全漏洞遭受了大规模数据泄露,影响了大约30亿个账户(几乎是整个互联网人口)。然而,该公司三年未披露此信息。2018年4月,美国证券交易委员会(SEC)因未能披露违规行为而对雅虎公司处以3500万美元的罚款。9月,雅虎的新老板Altaba承认,它已经以高达5000万美元的价格解决了因数据泄露而引发的集体诉讼。No.6乐购银行(TescoBank):2100万美元乐购银行是英国连锁超市乐购的零售银行部门。2016年,该行9000个客户账户被黑客“抢走”近300万美元。FCA处以2120万美元的罚款。FCA指责Tesco在其借记卡设计、金融犯罪控制和金融犯罪运营团队方面存在“缺陷”。第7目标:1850万美元2017年,零售巨头Target同意与47个州和哥伦比亚特区就2013年感恩节后黑色星期五发生的数据泄露事件达成1850万美元的和解约4000万个信用卡和借记卡账户遭到泄露在销售高峰期。后来的调查发现,攻击者还窃取了多达7000万人的姓名、地址、电话号码和电子邮件地址。与数据泄露相关的总成本超过2亿美元。No.8Anthem:价值1600万美元的美国健康保险公司Anthem在2015年遭遇数据泄露,影响了7900万人。泄露的信息包括姓名、生日、社会安全号码和医疗ID。2018年10月,该公司因违反《健康保险可携带性和责任法案》(HIPAA)被美国卫生与公众服务部罚款1600万美元。此外,该公司在2017年支付了1.15亿美元来解决与违规相关的集体诉讼。第九名1&1Telecom:1060万美元开出GDPR罚款的不仅仅是英国的ICO。德国网络托管公司1&1被德国联邦数据保护和信息自由专员(BfDI)罚款955万欧元(1060万美元),原因是未能采取“适当的技术和组织措施”来防止未经授权的人员访问客户信息.1&1Telecom在其身份验证过程中存在一个严重缺陷,即允许呼叫者仅通过提供姓名和生日即可获得有关他们所针对的个人的信息。类似的GDPR罚款包括因处理数据主体的政治派别而对奥地利邮政处以1800万欧元的罚款,以及在停止使用客户数据后对德国房地产公司DeutscheWohnen处以1450万欧元的罚款。保留客户数据。第10名德克萨斯大学MD安德森癌症中心:430万美元2018年6月,法官维持对德克萨斯大学MD安德森癌症中心违反HIPAA的行为处以430万美元的罚款。该癌症中心在2012年至2013年间发生了三起数据泄露事件,导致超过33,500人的健康信息丢失。值得注意的是,三起数据泄露事件都是由于安全意识薄弱造成的:一次泄露事件是由于未加密的笔记本电脑从员工住所被盗。另外两次是由于未加密的U盘丢失。在此数据泄露事件中,每个用户帐户数据泄露的平均罚款成本约为128美元。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信?id:gooann-sectv)获得授权】点此查看作者更多好文
