Значительные штрафы, оцененные за утечку данных в 2019 году, позволяют предположить, что регулирующие органы стали более серьезно относиться к организациям, которые должным образом не защищают данные потребителей. В Великобритании British Airways были оштрафованы на рекордную сумму в 230 миллионов долларов, а вскоре Marriott оштрафован на 124 миллиона долларов, в то время как в США Equifax согласился заплатить минимум 575 миллионов долларов за нарушение в 2017 году.
Это произошло после активного 2018 года. Плохая обработка Uber своего нарушения 2016 года обошлась ему в 150 миллионов долларов. Слаборазвитые и строго регламентированные данные о здравоохранении в том же году дорого обходятся медицинским учреждениям, в результате чего Министерство здравоохранения и социальных служб США получает все большие штрафы.
Содержание статьи
- 1 Эквифакс: (по крайней мере) 575 миллионов долларов
- 2 British Airways: 230 миллионов долларов США
- 3 Uber: 148 миллионов долларов
- 4 Marriott International: 124 миллиона долларов
- 5 Yahoo: 85 миллионов долларов
- 6 Tesco Bank: 21 миллион долларов
- 7 Целевой показатель: 18,5 млн. Долл. США
- 8 Гимн: 16 миллионов долларов
- 9 1 & 1 Telecom: 10,6 миллиона долларов
- 10 Онкологический центр имени Андерсона в Техасском университете: 4,3 млн. долларов США
- 11 Медицинское обслуживание Fresenius в Северной Америке: 3,5 миллиона долларов
- 12 Cottage Health, Touchstone Medical Imaging и Медицинский центр Университета Рочестера (URMC) : 3 миллиона долларов США
- 13 Система здравоохранения Джексона: $ 2,15 млн.
- 14 Equifax и Facebook: 650 000 долларов США каждый
Эквифакс: (по крайней мере) 575 миллионов долларов
В 2017 году Equifax потерял личную и финансовую информацию почти 150 миллионов человек из-за непатентованной платформы Apache Struts в одной из своих баз данных. Компания не смогла устранить критическую уязвимость через несколько месяцев после выпуска исправления, а затем не проинформировала общественность о нарушении в течение нескольких недель после его обнаружения.
В июле 2019 года кредитное агентство согласилось выплатить 575 миллионов долларов — потенциально может возрасти до 700 миллионов долларов — в соглашении с Федеральной торговой комиссией, Бюро финансовой защиты потребителей (CFPB) и всеми 50 штатами США и США. территории над компанией "неспособность предпринять разумные меры для защиты своей сети".
300 миллионов долларов из этой суммы пойдут в фонд, предоставляющий затронутым потребителям услуги кредитного мониторинга (еще 125 миллионов долларов будут добавлены, если первоначальный платеж недостаточен для компенсации потребителям), 175 миллионов долларов пойдут в 48 штатов, Округ Колумбия и Пуэрто-Рико, и 100 миллионов долларов пойдут в CFPB. Урегулирование также требует, чтобы компания получала сторонние оценки своей программы информационной безопасности каждые два года.
«Компании, которые получают прибыль от личной информации, несут дополнительную ответственность за защиту и защиту этих данных», — сказал председатель FTC Джо. Simons. «Equifax не смог предпринять основные шаги, которые могли бы предотвратить нарушение, затронувшее приблизительно 147 миллионов потребителей».
Equifax уже был оштрафован на £ 500,000 [~$625,000] в Великобритании за нарушение 2017 года, что было максимальным штрафом разрешено в соответствии с Законом о защите данных до ВВПР 1998 года.
British Airways: 230 миллионов долларов США
Несмотря на все угрозы и напуганность по поводу потенциального размера штрафов, первые 12 месяцев ЕС Общее положение о защите данных (GDPR) было относительно мало в отношении карательных мер. Штрафы, выданные фирмами по защите данных в континентальной Европе, которые связаны с утечкой данных, составляли десятки или относительно низкие сотни тысяч евро и в целом соответствовали видам находок, которые компании получали в соответствии с ранее действовавшими правилами. Из-за того, что много денег было потрачено на соблюдение нормативных требований и, казалось бы, легкое наказание за неудачу, возникло растущее беспокойство по поводу того, что GDPR на самом деле может быть чем-то вроде влажной болтовни. млн. [~$230 million]самый высокий на сегодняшний день штраф за нарушение данных и превосходящий Uber в 148 млн. долл. США, выплаченный в 2018 году. British Airways была оштрафована британским органом по защите данных ICO после того, как группа Magecart использовала сценарии сбора карточек для сбора урожая. личные данные и данные о платежах до 500,00 клиентов за двухнедельный период.
ICO заявила, что ее расследование показало, что «плохие меры безопасности в компании» привели к нарушению. БА отлично показывает, что у регламента есть реальные зубы, и органы по защите данных не боятся использовать свои полномочия. Принимая во внимание, что GDPR был одним из главных драйверов для повышения безопасности с помощью советов директоров, это даст ОГО, а конфиденциальность / соответствие предложит новый импульс для дальнейшего усиления их программ безопасности.
Uber: 148 миллионов долларов
В 2016 году в приложении Uber было 600 000 водителей и 57 миллионов учетных записей пользователей. Вместо того, чтобы сообщать об инциденте, компания заплатила злоумышленнику $ 100 000, чтобы держать хак в секрете. Эти действия, однако, стоят компании очень дорого. В 2018 году компания была оштрафована на 148 миллионов долларов — самый большой в истории штраф за нарушение данных — за нарушение государственных законов об уведомлении о нарушении данных.
Marriott International: 124 миллиона долларов
Штрафы GDPR составляют как автобусы: вы ждете целую вечность для одного, а затем два появляются одновременно. Спустя всего несколько дней после рекордного штрафа для British Airways, ICO вынесла второй крупный штраф за нарушение данных.
Marriott International была оштрафована на 99 миллионов фунтов стерлингов [~$124 million] за информацию об оплате, имена, адреса, номера телефонов, электронную почту адреса и номера паспортов до 500 миллионов клиентов были скомпрометированы. Источником взлома была дочерняя компания Marriott's Starwood; Считалось, что злоумышленники находились в сети Starwood на срок до четырех лет и около трех после того, как он был куплен Marriott в 2015 году.
Сеть отелей также оштрафована на 1,5 миллиона лир (~ 265 000 долларов США) турецким органом по защите данных — не в соответствии с законодательством GDPR — для пляжа, подчеркивая, как одно нарушение может привести к нескольким штрафам во всем мире.
Yahoo: 85 миллионов долларов
В 2013 году Yahoo столкнулась с серьезным нарушением безопасности, которое затронуло всю его базу данных, около 3 миллиардов учетных записей — почти все население Интернета. Однако компания не раскрывала эту информацию в течение трех лет.
В апреле 2018 года Комиссия по ценным бумагам и биржам США (SEC) оштрафовала компанию на 35 миллионов долларов за то, что она не раскрыла нарушение. В сентябре новый владелец Yahoo, Альтаба, признал, что урегулировал коллективный иск в результате нарушения на сумму 50 миллионов долларов.
Общий счет в размере 85 миллионов долларов для 3 миллиардов учетных записей составляет около 36 долларов за запись. ,
Tesco Bank: 21 миллион долларов
Tesco Bank, подразделение розничной банковской сети сети супермаркетов Великобритании, в 2018 году было оштрафовано на 16,4 миллиона фунтов стерлингов (21,2 миллиона долларов) в Управление финансового поведения Великобритании. (FCA) после того, как чуть менее 3 миллионов долларов было похищено с 9 000 учетных записей клиентов в 2016 году. FCA обвинило Tesco в «недостатках» при разработке своей дебетовой карты, средствах контроля финансовых преступлений и в своей группе операций по борьбе с финансовыми преступлениями.
Целевой показатель: 18,5 млн. Долл. США
В 2017 году розничный гигант Target согласился урегулировать 18,5 млн. Долл. США с 47 штатами и округом Колумбия в связи с нарушением в 2013 году, в ходе которого было украдено около 40 млн. Счетов кредитных и дебетовых карт. Черная пятница после дня благодарения В результате более поздних расследований были также обнаружены имена, адреса, номера телефонов и адреса электронной почты до 70 миллионов человек. Общие затраты, связанные с нарушением, достигают более 200 миллионов долларов.
Гимн: 16 миллионов долларов
США. В 2015 году медицинская страховка Anthem пострадала от нарушения, затронувшего 79 миллионов человек. Нарушение включало имена, даты рождения, номера социального страхования и медицинские удостоверения личности. В октябре 2018 года компания была оштрафована на 16 миллионов долларов США за нарушения Закона о мобильности и ответственности медицинского страхования (HIPAA) Министерства здравоохранения и социальных служб США. Этот штраф был в дополнение к 115 миллионам долларов, которые компания должна была выплатить в 2017 году, чтобы урегулировать коллективный иск, связанный с нарушением.
1 & 1 Telecom: 10,6 миллиона долларов
Это не просто ICO Великобритании, которая выдает крупные штрафы GDPR. Немецкая веб-хостинговая компания 1 & 1 была оштрафована на 9,55 млн евро (10,6 млн долларов) Федеральным комиссаром Германии по защите данных и свободе информации (BfDI) за то, что они не приняли «достаточные технические и организационные меры», чтобы предотвратить использование посторонними лицами своего отдела обслуживания клиентов для получения доступа. к данным клиента. Его плохие процессы аутентификации означали, что абоненты могли получать информацию о других клиентах, просто предоставив имя и дату рождения человека, о котором они хотели получить информацию.
Другие крупные штрафы GDPR по причинам, не связанным с нарушением, включают штраф в размере 18 миллионов евро против австрийской почтовой службы за обработку политической принадлежности субъектов данных и 14,5 миллиона евро против немецкой компании по недвижимости Deutsche Wohnen за сохранение данных клиентов после в этом больше не было необходимости.
Онкологический центр имени Андерсона в Техасском университете: 4,3 млн. долларов США
В июне 2018 года судья оставил в силе решение о штрафе Онкологического центра имени Андерсона Университета Техаса в размере 4,3 млн. долларов США за Нарушения HIPAA. В период с 2012 по 2013 год онкологический центр перенес три нарушения данных, что привело к потере медицинской информации более 33 500 человек. В одном случае незашифрованный ноутбук был украден из дома работника. Два других нарушения были связаны с потерей незашифрованных USB.
Медицинское обслуживание Fresenius в Северной Америке: 3,5 миллиона долларов
Сбои HIPAA снова бьют. В феврале 2018 года Fresenius Medical Care North America (FMCNA) был выставлен счет на сумму 3,5 млн. Долларов США после перенесенных пяти нарушений в различных местах расположения компаний в период с февраля по июль 2012 года. В результате расследования, проведенного Управлением по гражданским правам, FMCNA не удалось «провести точный и тщательный анализ потенциальных рисков и уязвимостей с точки зрения конфиденциальности, целостности и доступности всей медицинской информации, которую она хранила в разных своих подразделениях ».
Эти ошибки включают в себя предотвращение несанкционированного доступа к средствам и оборудование, не зашифровывающее данные о состоянии здоровья, не управляющее удалением электронных носителей, содержащих данные о состоянии здоровья, и не имеющее процедур безопасности, связанных с инцидентами.
Cottage Health, Touchstone Medical Imaging и Медицинский центр Университета Рочестера (URMC) : 3 миллиона долларов США
В 2019 году произошло три крупных нарушения HIPAA; 3 миллиона долларов США за каждую медицинскую визуализацию Cottage Health и Touchstone Medical.
Здоровье коттеджа было оштрафовано за два нарушения — одно в 2013 году и другое в 2015 году, в результате чего была получена утечка информации о состоянии здоровья, защищенной электронным способом (ePHI), которая затронула более 62 500 человек. Оба инцидента были связаны с серверами, поддерживающими доступ к ePHI через Интернет.
Медицинская визуализация Touchstone в штате Теннесси была оштрафована после того, как защищенная медицинская информация (PHI) более 300 000 пациентов была доступна онлайн через незащищенный FTP-сервер. Touchstone был уведомлен об этом воздействии ФБР в 2014 году, но утверждал, что никакой PHI пациента не было выявлено.
Министерство здравоохранения и социальных служб США (HHS) установило, что Touchstone «тщательно не расследовал инцидент безопасности в течение нескольких месяцев. после уведомления о нарушении со стороны как ФБР, так и OCR ». Кроме того, HHS заявил, что уведомление лицам, пострадавшим от нарушения, было« несвоевременным », что Touchstone« не смог провести точный и тщательный анализ рисков потенциальных рисков », и компания «не смогла заключить соглашения о сотрудничестве с ее поставщиками».
В ноябре 2019 года Медицинский центр Университета Рочестера (URMC) также был оштрафован на 3 миллиона долларов за неспособность шифровать мобильные устройства. Центр, в состав которого входят Школа медицины и стоматологии и Мемориальная больница Стронг, потеряли незашифрованную флеш-карту в 2013 году и украли незашифрованный ноутбук в 2017 году. URMC был оштрафован за неспособность надлежащим образом защитить личную медицинскую информацию, несмотря на то, что ранее сообщал о нарушении с помощью незашифрованный диск в 2010 году.
Система здравоохранения Джексона: $ 2,15 млн.
Еще одно крупное нарушение HIPAA, на этот раз для некоммерческой академической медицинской системы Майами — системы здравоохранения Джексона (JHS), которая управляет рядом больниц и центры по уходу во Флориде. JHS был оштрафован на $ 2,15 млн. DHS за несколько инцидентов в период между 2013 и 2016 годами.
Хотя JHS действительно сообщала о потере бумажных отчетов о 756 пациентах в DHS в 2013 году, она не сообщила о потере дополнительных трех коробок записи пациентов после внутреннего расследования. В 2015 году JHS обнаружил, что два сотрудника получили доступ к электронной медицинской карте пациента без какой-либо служебной цели. В 2016 году JHS сообщил о нарушении после того, как обнаружил, что сотрудник продавал данные пациентов на общую сумму 24 000 записей с 2011 года.
Equifax и Facebook: 650 000 долларов США каждый
Equifax и Facebook могут считать себя счастливчиками. В 2018 году Управление Уполномоченного по информации Великобритании оштрафовало обе компании за сбои данных в соответствии с Законом о защите данных до ВВП, в котором максимальный размер штрафа составляет всего 500 000 фунтов стерлингов (~ 650 000 долларов США). При GDPR штрафы могли быть намного выше. В октябре Facebook был удостоен счета за скандал с данными Cambridge Analytica, а Equifax был назначен максимальный штраф в сентябре за нарушение в 2017 году.
Эта статья «Крупнейшие данные, нарушающие штрафы, пени и штрафы до настоящего времени» была первоначально опубликована
CSO .
