Equifax的数据突破灾难:它会改变执行者对安全的态度吗?

Equifax周一宣布,它已同意与2017年大规模数据泄露相关的破纪录的和解协议,该协议暴露了超过1.48亿人的个人和财务记录。该和解协议要求陷入困境的信用评级机构至少花费13.8亿美元来解决消费者对其的索赔。它创建了一个3.8亿美元的非复归基金,用于向因违规行为而受到损害的消费者群体支付福利,包括现金补偿,信用监控和身份恢复帮助。

和解还要求Equifax再花1.25亿美元用于现金补偿,如果注册信用监控的班级成员人数超过700万,可能会更多。该公司将进一步支付1.75亿美元的罚款以解决州检察官的一般调查,以及1亿美元用于解决消费者金融保护局和联邦贸易委员会(FTC)的调查。

最后,Equifax还必须在未来五年内投入10亿美元来改善其数据安全性。这是在Equifax自破产发生以来所做的12.5亿美元安全和技术投资之上。

Equifax突破造成的伤害很深

这些严厉的处罚是在Equifax近两年的艰苦发展之后进行的。在违规事件发生之后,以及Equifax自己为应对后果而做出的拙劣努力,首席执行官理查德史密斯在首席信息官David Webb和CSO Susan Mauldin突然退休后不久离开了公司。

6月下旬,前Equifax副总裁兼国际首席信息官Jun Ying被判入狱四个月,并被要求支付约117,000美元的赔偿金和55,000美元的罚款,用于他在数据泄露期间所承担的公司股票的内幕交易。发现和公开宣布它。去年10月,前Equifax工程师Sudhakar Reddy Bonthu同样因内幕交易被判刑,并被命令支付内幕交易的财务赔偿金,尽管Bonthu被判处8个月的家庭监禁而不是服刑。

5月下旬,投资者评级巨头穆迪(Moody)将平均值(Equifax)的前景从稳定下调至负面,这是由于网络攻击造成的第一次降级。在降级时,穆迪表示由于与违规相关的费用,并没有看到Equifax更加光明的未来,当时,穆迪在2019年和2020年被判定为4亿美元左右。

众议院监督和政府改革委员会称之为 “完全可以预防”的违规行为,并不是唯一一个制裁Equifax的机构。去年9月,英国数据监管机构信息专员办公室(ICO)因未能保护受该漏洞影响的约1500万英国人的个人数据而对Equifax罚款50万英镑(664,000美元)。

Equifax确实与ICO的罚款时间有所不同,因为它的违规行为发生得太早,以至于被欧盟通用数据保护条例(GDPR)的更多财务惩罚制度所逮捕,该条例于2018年5月生效。 GDPR的规定可能使Equifax的全球收入损失4%或约136,000,000美元,这个数额或多或少与ICO针对其他公司因数据泄露而征收的最近两笔罚款相提并论。

7月初,ICO宣布计划对英国航空公司罚款超过1.83亿英镑(约2.3亿美元),此前黑客窃取了该航空公司50万客户的个人数据,其中包括他们的支付卡数据。 2018年6月,ICO表示计划对美国酒店集团万豪国际集团(Marriott International)罚款9,920万美元或约1.23亿美元与2018年发现的数据泄露相关,但可能追溯到2014年。这一违规行为影响了万豪酒店喜达屋集团旗下的酒店曝光了约3.39亿宾客的私人数据。

罚款不会增加安全性

然而,在这些以及其他近期备受瞩目和昂贵的数据泄露事件中,信息安全专业人士仍然不言而喻,Equifax,英国航空和万豪等公司的许多(如果不是大多数)高级管理人员都不愿意避免必须强调网络安全。这些财务计算。这些高度公开的安全隐患的可见性和压力是否会推动企业采取更严格的安全措施并投资于更好的数字保障措施仍然是一个悬而未决的问题。

在Equifax消费者集体行动诉讼中的一位专家证人的声明中,技术,电子发现,网络安全和取证公司Enterprise Knowledge Partners的创始人Mary T. Frantz强调了破坏公司的主要破坏性数据漏洞的力量网络安全支出在违规后立即出现高峰,但随后逐渐消失。“我观察到许多行业的模式,在数据泄露事件发生后,公司为信息安全部门提供了充足的资金。然而,在一两年之后,这些公司通常在所有计划的安全改进工作完成之前,大幅缩减信息安全资金,“她在和解协议附带的声明中写道。

Frantz制定了Equifax应该追求的雄心勃勃的计划,因为它开始花费它已经同意在未来五年内投资改善安全性的10亿美元。注意到“Equifax的违规前网络安全控制措施未达到行业标准”,Frantz提出了一些建议,以纠正公司的缺陷,从基于NIST的综合安全计划开始。

将Equifax的漏洞铭记于心

Norm Siegel是Equifax和解协议消费者的联合首席律师之一,他认为安全专业人士和高管应该将Equifax的违规行为铭记于心。他告诉CSO,“我们能够确保有意义的数据安全改进,包括由法院命令支持的重大资本承诺,这是此解决方案的另一个重要特征,可能会阻止”执行者忽视网络安全“ 。

未能听取Equifax安全熄火的教训可能会导致更多公司走上Equifax紧随其后的灾难性道路,随后会有更多引人注目的诉讼。“消费者保护律师继续在控股公司中发挥关键作用,”Equifax和解协议的另一位联合首席律师艾米凯勒告诉CSO Online。

该协议“表明消费者拒绝接受数据泄露是'新常态'”并且“不仅”补偿“消费者因违约而花费的时间和金钱,而且[确保]消费者拥有她说,未来需要保护自己的工具。

凯勒说,这个信息很明确。“如果公司从您的数据中获利,那么他们就有责任保护这些数据。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。