С каждым годом правительства разных стран ужесточают законы и обязывают компании максимально ответственно относиться к сохранности информации. Подобные шаги отнюдь не прихоть: кроме очевидных негативных последствий для граждан, не по своей воле вовлеченных в утечку, существует еще один важный аспект, на который госрегуляторы наконец обратили внимание. Многие крупные представители рынка откровенно пренебрегают информационной безопасностью, надеясь исключительно на чудо и всемирно известный принцип «нас это точно не коснется».
При этом статистика свидетельствует: подавляющее большинство утечек не является результатом чересчур умелых действий хакеров. Напротив, кража информации стала возможной благодаря безалаберному отношению бизнеса к хранимым данным.
Самые громкие и дорогостоящие информационные инциденты, произошедшие за последнее десятилетие, наглядно подтверждают этот тезис.
Equifax: штраф — более 575 миллионов долларов
В 2017 году бюро кредитной истории Equifax потеряло личную и финансовую информацию почти 150 миллионов человек. Причина взлома – уязвимость в Apache Struts. Хотя баг находился в коде долгое время, разработчики из Apache Software Foundation за неделю до инцидента выпустили патч, исправляющий ситуацию.
Казалось бы, все специалисты по информационной безопасности прекрасно осведомлены о необходимости своевременно и максимально быстро устанавливать критические обновления программного обеспечения. Однако в Equifax зазевались, за что и поплатились миллионными убытками.
В июле 2019 года бюро кредитной истории согласилось выплатить 575 миллионов в рамках мирового соглашения с Федеральной торговой комиссией, Бюро финансовой защиты потребителей (CFPB) и 50 штатами США. Формулировка причины штрафа – ненадлежащие усилия по защите внутренней сети. Итоговая сумма компенсаций не окончательна: возможно, для Equifax она возрастет до 700 миллионов долларов.
Home Depot: штраф — 200 миллионов
В 2014 торговая сеть Home Depot столкнулась с одной из крупнейших в истории утечек информации. Похищенные учетные данные позволили хакерам проникнуть во внутреннюю сеть компании, повысить привилегии и, в конечном итоге, взломать POS-систему. За период с апреля по сентябрь 2014 года было украдено более 50 миллионов номеров кредитных карт и 53 миллиона адресов электронной почты.
Как сообщается в СМИ, Home Depot выплатила около 134,5 миллионов долларов банкам и компаниям, выпускающим кредитные карты. Кроме того, в 2016 году Home Depot согласилась выплатить 19,5 миллиона долларов клиентам, пострадавшим от взлома.
Но на этом история не заканчивается: многострадальная компания вплоть до 2020, продолжает ежегодно выплачивать астрономические штрафы.
Yahoo: штраф — 85 миллионов
В 2013 году поисковик Yahoo умудрился потерять практически всю базу данных, содержащую информацию о пользователях — более з-х миллиардов учетных записей. Не желая признавать вину, компания скрывала факт утечки на протяжении 3-х лет.
В апреле 2018 года комиссия США по ценным бумагам и биржам оштрафовала корпорацию на 35 миллионов долларов.
В сентябре новый владелец Yahoo, управляющая инвестиционная компания Altaba признала, что урегулировала коллективный иск и выплатила 50 миллионов долларов компенсаций.
В итоге утечка данных обошлась поисковику в 85 миллионов долларов.
Ticketmaster: штраф — 10 миллионов
Обычно выплачивать штрафы и компенсации приходится компаниям, пострадавшим от утечки. Но с американской компанией по продаже билетов Ticketmaster, ситуация другая: они сами стали причиной информационного инцидента – взломали своего конкурента. И, конечно же, в этой истории не обошлось без инсайдера.
По заявлению Министерства юстиций США, в 2013 году сотрудник компании-жертвы перешел на работу в Ticketmaster. Используя учетные данные с прошлого места работы, которые по странному стечению обстоятельств оказались незаблокированными, он получил доступ к базам данных своего бывшего работодателя.
Руководство Ticketmaster попросило инсайдера достать конфиденциальную информацию о крупных клиентах. Кроме того заговорщики нацелились на интеллектуальную собственность – приложение для анализа данных о продаже билетов компании-конкурента.
Примечательно, что представители Ticketmaster разгуливали по внутренней сети жертвы на протяжении более чем 12 месяцев, с начала 2014 года до середины 2015 года.
В январе 2021 года компания была вынуждена выплатить штраф в размере 10 миллионов долларов за незаконную деятельность и несанкционированное использование конфиденциальной информации.
Ни один вид бизнеса не застрахован от действий инсайдеров, хакеров или уязвимостей программного обеспечения. Однако минимизировать риски не так уж и сложно: достаточно своевременно обновлять как «офисное» ПО, так и средства защиты. А главное – необходимо постоянно держать руку на пульсе событий, тщательно анализировать перемещения данных внутри компании и вести мониторинг подозрительных действий персонала, которые могут привести к утечкам.
