最近很多企業(yè)數(shù)據(jù)泄露事故最終導(dǎo)致集體訴訟,并且,這些數(shù)據(jù)泄露訴訟還揭示了令人不安的趨勢(shì):現(xiàn)在安全問題的成本正在不斷增加。
目前并沒有重大數(shù)據(jù)泄露事故進(jìn)入法庭受審,雖然有些仍然懸而未決,但很多其他數(shù)據(jù)泄露事故都是選擇庭外和解,這給企業(yè)帶來高昂的損失,所涉企業(yè)需要支付數(shù)百萬美元給原告——無論是客戶、員工、銀行還是信用卡公司。
與所有法律和解一樣,數(shù)據(jù)泄露事故和解并沒有判定誰是罪魁禍?zhǔn)谆蛘咄嘎队嘘P(guān)事件本身的實(shí)質(zhì)性的細(xì)節(jié)信息。但和解費(fèi)用暗示這些集體訴訟可能在不久的將來造成巨大的數(shù)據(jù)泄露成本,這涉及到泄露了什么數(shù)據(jù)、誰收到了影響以及哪些類型的信息被泄露。
無論攻擊者嘗試從防御很差的POS系統(tǒng)挖掘信用卡數(shù)據(jù)還是從有漏洞技術(shù)(例如物聯(lián)網(wǎng)IOT)中搜尋個(gè)人身份信息(PII),數(shù)據(jù)泄露事故仍在繼續(xù)發(fā)生,這些訴訟也沒有顯示放緩的跡象。同時(shí),企業(yè)正在以蝸牛的速度提高安全性,防御和處理安全事故的財(cái)務(wù)費(fèi)用似乎越來越高,因?yàn)閿?shù)據(jù)泄露事故和解費(fèi)用已經(jīng)達(dá)到驚人的水平。
本文中,讓我們來看看這些數(shù)據(jù)泄露事故訴訟與和解,了解為什么企業(yè)在很大程度上發(fā)現(xiàn)自己處在這些法律糾紛的劣勢(shì)以及這對(duì)未來企業(yè)安全意味著什么。
數(shù)據(jù)泄露事故訴訟的根源
沒有哪家公司可100%抵御網(wǎng)絡(luò)犯罪分子、黑客和民族國(guó)家攻擊者,即使部署適當(dāng)?shù)陌踩胧髽I(yè)仍然需要謹(jǐn)慎行事。專家表示企業(yè)必須付出很大努力來保護(hù)他們的基礎(chǔ)設(shè)施,以及保護(hù)客戶及員工數(shù)據(jù),否則將面臨嚴(yán)重后果。
安全風(fēng)險(xiǎn)評(píng)估公司NetDiligence總裁Dave Chatfiled表示,當(dāng)涉及到信息安全時(shí),根本沒有什么保證。
“安全顧問會(huì)讓企業(yè)客戶采取各種安全做法,并讓他們相信數(shù)據(jù)泄露的可能性會(huì)隨著時(shí)間的推移而減少,”Chatfiled表示,“但我不相信會(huì)有任何安全供應(yīng)商對(duì)你說,‘我們將保證你永遠(yuǎn)不會(huì)遭到泄露。’”
然而,需要注意的是,遭遇數(shù)據(jù)泄露的Target等公司自身也有過錯(cuò),因?yàn)樗麄兊男畔踩渴鸩⒉蛔銐颉0踩浾連rian Krebs獲取了一份內(nèi)部報(bào)告揭露Target公司IT系統(tǒng)中發(fā)現(xiàn)的問題,執(zhí)行這個(gè)調(diào)查的Verizon安全顧問能夠破解86% Target的密碼,這讓他們可訪問內(nèi)部網(wǎng)絡(luò)。很多系統(tǒng)都已經(jīng)過時(shí)或者沒有修復(fù)安全漏洞,并且,通過利用明顯的漏洞,這些安全專家可完全訪問包含所有敏感數(shù)據(jù)的網(wǎng)絡(luò)。
在過去幾年內(nèi)發(fā)生的很多重大數(shù)據(jù)泄露事故都面臨集體訴訟,然后庭外和解,從來沒有在法庭進(jìn)行審判。Chatfiled表示,這可能是因?yàn)樵庥鰯?shù)據(jù)泄露的公司沒什么可辯論,例如Target的案件,而庭外和解可讓企業(yè)快速向前發(fā)展,并可能躲過媒體的追逐。
“多年來,我們一直在等待這種集體訴訟可進(jìn)入法庭審判過程,但有很多原因讓所有各方都避免這種結(jié)果,可能因?yàn)檫@是最不可預(yù)知的結(jié)果,”Chatfiled說道,“更有效的方法是在私下處理這些問題,而不是推上法庭。”
數(shù)據(jù)泄露事故訴訟:新的先例?
信息管理律師Matthew Nelson表示,集體訴訟數(shù)據(jù)泄露有很高的庭外和解率,這是因?yàn)樵娑急仨氄故?ldquo;他們很可能因數(shù)據(jù)泄露而受到傷害”。但一張支付卡被盜并不足以支撐一個(gè)官司,因?yàn)榭蛻袈暦Q自己受到的傷害不能太投機(jī)。
今年我們看到一個(gè)先例:Neiman Marcus數(shù)據(jù)泄露事故案件。在這個(gè)案件中,原告認(rèn)為其財(cái)務(wù)數(shù)據(jù)被盜足以證明他們可能是受到2013年數(shù)據(jù)泄露事故的影響。最初,美國(guó)地方法院法官否決了這個(gè)訴訟,其理由是未經(jīng)授權(quán)信用卡收費(fèi)將會(huì)賠償給受影響的客戶,原告并沒有表現(xiàn)出受到明顯傷害或存在受傷害的風(fēng)險(xiǎn)。
但是,在今年夏天,美國(guó)第七巡回法院法官小組推翻了這一判決,并允許Neiman Marcus數(shù)據(jù)泄露事故訴訟案繼續(xù)向前推進(jìn)。該小組的判決表明,這里存在“客觀合理的可能性”,個(gè)人數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)被盜可能造成傷害,對(duì)欺詐性信用卡扣費(fèi)的報(bào)銷并不能保護(hù)原告免受其他潛在傷害,例如身份盜竊。Nelson表示,第七巡回法庭的判決對(duì)數(shù)據(jù)泄露事故訴訟可能產(chǎn)生重大影響。
“該法院讓這個(gè)集體訴訟案繼續(xù)向前推進(jìn),因?yàn)榭蛻舨粦?yīng)該等到身份盜竊或信用卡盜竊發(fā)生后才讓原告受到懲罰,”Nelson表示,“這些事情可能會(huì)發(fā)生,這是非常客觀合理的推測(cè)。”
在巡回法庭創(chuàng)下的先例可能意味著未來更多的數(shù)據(jù)泄露事故訴訟進(jìn)入法庭審判—無論是客戶還是員工的數(shù)據(jù)被泄露,這可能給企業(yè)帶來更高的數(shù)據(jù)泄露成本。
數(shù)據(jù)泄露事故成本比較
如果說,未來將有更多數(shù)據(jù)泄露訴訟還不足以說明問題,企業(yè)數(shù)據(jù)泄露事故本身正變得越來越普遍。當(dāng)企業(yè)疏于保護(hù)客戶的個(gè)人數(shù)據(jù),這會(huì)讓網(wǎng)絡(luò)罪犯有機(jī)可趁。但專家表示,對(duì)大型企業(yè)的有針對(duì)性攻擊更難以檢測(cè)和防御。
“攻擊者使用的技術(shù)越來越復(fù)雜,這種威脅在不斷發(fā)展,”Nelson稱,“例如,在我們的《互聯(lián)網(wǎng)安全威脅報(bào)告》中,零日漏洞正處于歷史高位。只要攻擊者成功入侵網(wǎng)絡(luò),他們就可在較長(zhǎng)時(shí)間內(nèi)不被發(fā)現(xiàn),這意味著他們可做更多的破壞。”
此外,數(shù)據(jù)泄露訴訟成本可能非常高昂,因?yàn)樾孤兜臄?shù)據(jù)越敏感,和解的費(fèi)用就越高。在一些情況中,和解費(fèi)用具體數(shù)目都沒有公開。例如,在2013年Adobe數(shù)據(jù)泄露事故中,3800萬客戶用戶名、電子郵件地址、加密的密碼和加密的信用卡號(hào)碼被盜,最后在今年夏天以未知金額在庭外和解。Adobe支付120萬美元法律費(fèi)用作為和解的一部分,但實(shí)際支付給客戶的數(shù)額不詳。
其他和解則是公開的,通過觀察最近和解的數(shù)據(jù)泄露訴訟(不同公司規(guī)模和行業(yè)),泄露的信息類型以及和解數(shù)量之間似乎存在相關(guān)性。例如,在2012年的LinkedIn數(shù)據(jù)泄露事故中,650萬用戶加密密碼被盜—隨后被黑客破解,這導(dǎo)致該社交網(wǎng)絡(luò)公司支付125萬美元和解費(fèi)用,這些錢完全分配給80萬LinkedIn高級(jí)訂閱用戶。
與此同時(shí),在46萬個(gè)人信息被盜后,健康保險(xiǎn)提供商AvMed公司花費(fèi)300萬美元解決了這個(gè)數(shù)據(jù)泄露集體訴訟案。盡管受影響客戶只有LinkedIn的一半,但AvMed支付的和解費(fèi)用是其兩倍,為什么呢?AvMed被盜的數(shù)據(jù)包括敏感的PII,例如客戶的姓名、地址、社會(huì)安全號(hào)碼和醫(yī)療信息。
Nelson表示,“被盜數(shù)據(jù)的價(jià)值和和解費(fèi)用之間存在必然的關(guān)聯(lián)。”
有些數(shù)據(jù)泄露事故集體訴訟是由客戶提出,而還有些則是由銀行、信用卡公司和聯(lián)邦政府提出,下面讓我們看看最近的數(shù)據(jù)泄露和解:
·LinkedIn公司數(shù)據(jù)泄露事故影響600萬用戶,其用戶名和密碼都被泄露。125萬美元的和解資金只適用于80萬擁有高檔訂閱的用戶。
·在AvMed數(shù)據(jù)泄露事故中,超過100萬的社會(huì)安全號(hào)碼和醫(yī)療記錄被泄露,該公司花費(fèi)310萬美元來和解。
·2013年的Target數(shù)據(jù)泄露事故影響超過1億用戶,其信用卡號(hào)碼、姓名、地址、電子郵件地址和電話號(hào)碼被盜。該零售巨頭為客戶集體訴訟和解支付1000萬美元。
·在與信用卡公司MasterCard和Visa的兩起相關(guān)訴訟中,Target公司分別以3900萬美元和6700萬美元完成和解。該和解協(xié)議涵蓋對(duì)受影響信用卡和借記卡銀行和其他金融服務(wù)公司的欺詐性收費(fèi)成本。
·在這個(gè)月,Wyndham酒店及度假村同意為三起數(shù)據(jù)泄露事故與美國(guó)聯(lián)邦貿(mào)易委員會(huì)達(dá)成和解,據(jù)報(bào)道,這些泄露事故泄露了客戶的信用卡號(hào)碼。除了支付和解費(fèi)用,該酒店同意在未來20年都進(jìn)行年度IT安全審計(jì),包括對(duì)PCI DSS合規(guī)的審計(jì)。
·在2011年數(shù)據(jù)泄露事故中2萬病人的醫(yī)療記錄被泄露后,斯坦福大學(xué)醫(yī)院及診所以410萬美元達(dá)成庭外和解。
·2011年索尼PlayStation網(wǎng)絡(luò)數(shù)據(jù)泄露事故影響7700萬用戶,并且泄露了客戶姓名和地址、登錄憑證及加密的信用卡號(hào)碼。索尼以1500萬美元和解,但該公司否認(rèn)有任何不當(dāng)行為。
·在2014年年底,索尼影視娛樂公司遭受重大數(shù)據(jù)泄露事故,其中泄露了敏感員工信息,例如PII、工資、犯罪背景調(diào)查、績(jī)效評(píng)估和內(nèi)部通信。該工作室最近還以800萬美元解決了前雇員提出的訴訟。
·在線購(gòu)票供應(yīng)商Vendini在2013年數(shù)據(jù)泄露中,信用卡信息、電子郵件地址、電話號(hào)碼和未公開數(shù)量客戶的PII遭遇泄露,該公司去年以300萬美元完成庭外和解。
·在2012年年底,連鎖超市Schnuck Markets遭遇泄露事故,其中240萬客戶信用卡信息被泄露,該公司同意以210萬美元達(dá)成和解。
還有懸而未決的訴訟包括Home Depot、Neiman Marcus、Excellus BlueCross BlueShield、Communicaty Health Systems公司以及美國(guó)人事管理局的泄露事故案。最近,擁有婚外情網(wǎng)站Ashley Madison的Avid Life Media公司在去年Ashley Madison臭名昭著的數(shù)據(jù)泄露事故后,面臨來自加拿大法律事務(wù)所57800萬美元集體訴訟。這個(gè)案件帶來嚴(yán)重的影響,包括未經(jīng)證實(shí)的自殺報(bào)道、勒索以及離婚等。鑒于這個(gè)訴訟的規(guī)模,這可能讓Ashley Madison面臨破產(chǎn)。
數(shù)據(jù)的價(jià)格
由于數(shù)據(jù)泄露現(xiàn)在很普遍,信用卡客戶現(xiàn)在已經(jīng)習(xí)慣每年或每?jī)赡旮鼡Q信用卡。信用卡和借記卡號(hào)碼都有使用期限,因?yàn)楫?dāng)這些信息被泄露時(shí),信用卡公司和客戶就不需要花時(shí)間來替換它們。
“這些信用卡的利用價(jià)值會(huì)隨著時(shí)間的推移而下降,而社會(huì)安全號(hào)碼、駕駛證號(hào)碼或醫(yī)療記錄的價(jià)值則可保持更長(zhǎng)的時(shí)間,”Chatfiled表示,“這些數(shù)據(jù)可讓攻擊者在以后利用,并且,這些數(shù)據(jù)的準(zhǔn)確性并不會(huì)隨著時(shí)間而受到影響。”
盡管在黑市個(gè)人身份信息的價(jià)格并沒有繼續(xù)上漲,但根據(jù)趨勢(shì)科技2015年的報(bào)告顯示,PII的平均價(jià)格已經(jīng)從2014年的4美元下降到每行1美元,每行都包含名字、詳細(xì)地址、出生日期、社會(huì)安全號(hào)碼和其他信息。
這很可能是由于近年來不斷增加的數(shù)據(jù)泄露事故,PII供過于求,更多的數(shù)據(jù)泄露事故意味著更多的可用數(shù)據(jù),這不可避免地會(huì)壓低價(jià)格。
趨勢(shì)科技公司威脅通信經(jīng)理Christopher Budd指出,隨著對(duì)PII的需求降低,黑客會(huì)想要更便利、侵入型和有價(jià)值的數(shù)據(jù)。在過去幾年中,我們看到的“Target”類型的數(shù)據(jù)泄露事故將會(huì)減少,網(wǎng)絡(luò)罪犯將會(huì)轉(zhuǎn)移到新形勢(shì)的數(shù)據(jù),例如與IoT設(shè)備相關(guān)的信息,因?yàn)檫@些數(shù)據(jù)不太安全。
現(xiàn)在不只是企業(yè)面臨風(fēng)險(xiǎn),消費(fèi)者設(shè)備IoT的市場(chǎng)正在逐漸發(fā)展壯大,消費(fèi)者同樣面臨風(fēng)險(xiǎn)。“IoT肯定是隱私數(shù)據(jù)泄露事故的下一個(gè)前線,”Chatfiled稱,“如果我們?cè)?018年談同樣的話題,這仍是熱門話題,我并不會(huì)感到很驚訝。”
IoT引入了數(shù)據(jù)流、新設(shè)備和流量,這些都與家庭個(gè)人設(shè)備互聯(lián),例如燈、安全攝像頭、自動(dòng)調(diào)溫器、嬰兒監(jiān)視器、門鎖、空氣質(zhì)量監(jiān)控器、活動(dòng)水平等。不幸的是,由于人們太關(guān)注這些漂亮的新玩意,他們并沒有考慮安全性。IoT正在以指數(shù)速度增長(zhǎng),而安全標(biāo)準(zhǔn)卻沒有同步發(fā)展。
“大家都在急于開發(fā)新技術(shù),”Nelson表示,“但有時(shí),安全并沒有跟上這種技術(shù)發(fā)展速度。”
現(xiàn)在,包含某種個(gè)人信息的任何事物都有其價(jià)值。趨勢(shì)科技的報(bào)告列出了黑市的數(shù)據(jù)及其價(jià)格,例如美國(guó)手機(jī)賬號(hào)價(jià)格高達(dá)14美元,PayPal、eBay、Facebook、FedEx、Netflix和亞馬遜被盜的賬號(hào)可在黑市中購(gòu)買。PayPal和eBay中成熟的賬戶售價(jià)高達(dá)300美元,這意味著它有多年的交易歷史記錄,而且不太可能被標(biāo)記為可疑交易。銀行賬戶的登錄憑證更加昂貴,在200到500美元之間。信貸報(bào)告也可以25美元購(gòu)買,掃描文件(例如護(hù)照和駕駛執(zhí)照)價(jià)格在10到35美元之間。
Chatfiled承認(rèn)黑市對(duì)PII需求降低,并表示對(duì)知識(shí)產(chǎn)權(quán)信息的需求日益增加,“特別是在中國(guó)和俄羅斯,來自世界各地的知識(shí)產(chǎn)權(quán)正成為比信用卡號(hào)碼更重要的目標(biāo)。”
除了訴訟和解,數(shù)據(jù)泄露事故的成本很高昂。這還包括律師費(fèi)、員工加班費(fèi)、安裝新安全軟件、媒體控制、品牌價(jià)值損失、網(wǎng)絡(luò)安全保險(xiǎn)費(fèi)和收入損失。隨著每年數(shù)據(jù)泄露事故訴訟數(shù)量的增加,在某個(gè)時(shí)候,訴訟可能會(huì)進(jìn)入法庭審判,并可能危機(jī)企業(yè)的未來。即使對(duì)于在網(wǎng)絡(luò)安全投入巨資的公司,都很難滿足安全要求、合規(guī)措施以及不斷變化的威脅。并且,對(duì)于這些移動(dòng)的目標(biāo),企業(yè)很難(如果不是不可能)確保他們不會(huì)面對(duì)數(shù)據(jù)泄露帶來的法律行動(dòng)。
京公網(wǎng)安備 11010502049343號(hào)