2017 年的数据泄露事件令 Equifax 承受了数十亿美元损失、客户赔偿和强制及自愿安全改善。靠客户数据盈利的所有公司企业都应引起注意。
7 月 22 日,Equifax 宣布接受金额创纪录的和解协议,了结了这桩导致 1.48 亿人个人信息及财务记录暴露的大规模数据泄露事件。这家四面楚歌的信用评级机构需支付至少 13.8 亿美元的消费者索赔金。受泄露事件影响的消费者可得到现金补偿、信用监视和身份恢复帮助,所需资金由该公司投注的 3.805 亿非复归基金支出。
协议还要求 Equifax 另外支付 1.25 亿美元的现金赔偿,且如果报名信用监视的人数超过 700 万,该公司需支付的数额还将大幅增加。此外,Equifax 还需支付 1.75 亿美元的罚款以平息州检察官的调查,美国消费者金融保护局和联邦贸易委员会 (FTC) 的调查也需 1 亿美元平复。
最后,未来五年内,Equifax 还必须拿出 10 亿美元改善其数据安全。而且,这还是在 Equifax 自事件发生后已在安全及技术方面投入 12.5 亿美元的基础上。
Equifax数据泄露事件的伤害还在进一步深化
重惩之前,Equifax 已遭受了近两年持续不断的打击。数据泄露事件曝光及 Equifax 自身糟糕的应对工作,导致其首席执行官(CEO) 理查德·史密斯 (Richard Smith), 紧随首席信息官 (CIO) 大卫·韦伯 (David Webb) 和首席安全官 (CSO) 苏珊·默尔丁 (Susan Mauldin) 的突然解职,离开公司。
6 月下旬,因涉嫌在数据泄露事件发现至公开期间进行公司股票内幕交易,Equifax 前副总裁兼国际 CIO 应骏(Jun Ying,音译)被判四个月监禁和偿还约 11.7 万美元,并被判处 5.5 万美元罚金。去年 10 月,前 Equifax 工程师苏哈卡·雷迪·邦图 (Sudhakar Reddy Bonthu) 同样被判内幕交易,责令偿还交易所得,只不过邦图只需在家禁足八个月而无需入狱。
5 月下旬,投资评级巨头穆迪公司 (Moody’s) 大幅调低 Equifax 前景展望,将之从稳定降为负面。这还是穆迪公司首次因网络攻击而调低一家公司的前景级别。对此,穆迪公司给出的解释是:鉴于其 2019 和 2020 年数据泄露相关开销可能在 4 亿美元左右,我们看不到 Equifax 的未来有任何光明的迹象。
美国众议院监督与政府改革委员会认为 Equifax 数据泄露事件“完全可以避免”。而对 Equifax 加以制裁的政府还不止美国一家。
去年 9 月,英国数据监管机构信息专员办公室 (ICO) 对 Equifax 处以 50 万英镑(66.4 万美元)罚款,罪名是未能保护好受该数据泄露事件影响的 1,500 万英国公民个人数据。
ICO 的罚款其实给了 Equifax 一定的喘息,因为该事件发生得太早,逃过了 2018 年 5 月才生效的欧盟《通用数据保护条例》 (GDPR) 处罚。GDPR 的金融处罚规定可是比 ICO 严厉得多。按 GDPR 最高 4% 全球营业额的处罚规定,Equifax 可遭致约 1.36 亿美元罚款,与近期 ICO 对另外两家企业开出的数据泄露罚单持平。
7 月初,ICO 宣布计划罚去英国航空公司 1.83 亿英镑(约2.3 亿美元),因为 2018 年 6 月开始的数据泄露事件中该航空公司约 50 万客户的个人数据被盗,被盗数据中甚至还包括了支付卡数据。还是在 7 月初,ICO 宣称要对美国酒店业巨头万豪国际处以 9,920 万英镑(约 1.23 亿美元)罚款,缘由是一起 2018 年发现但可追溯至 2014 年的数据泄露事件。该事件影响万豪旗下喜达屋酒店集团,暴露了约 3.39 亿顾客的隐私数据。
罚款并不能改善安全
尽管近期出现了如此多罚金高昂的大型数据泄露事件,信息安全人员仍然心知肚明:绝大多数首席高管,尤其是 Equifax、英国航空和万豪集团之类的大企业,还是不会对网络安全投注必要的重视以规避此类金融处罚。增加对安全疏漏的曝光度及处罚力度,是否能推动企业寻求更严格的安全措施,是否能 “逼迫” 企业投资更好的数字安全防护,仍是未知数。
Tripwire 近期在推特上发起了一场关于 “合规罚金力度” 的调查。结果显示,约有 45% 的人认为惩罚金额合适,几乎同样数量的受访者 (43%) 则认为远远不够;仅有 12% 认为处罚的力度过大。同时,有超过半数 (52%) 的参与者表示,认为这些惩罚会让企业在安全性方面的策略和做法做出些许改变;但也有 22% 的受访者认为,这些惩罚无足轻重。此外,71% 的受访者表示,不会因为相关合规要求的惩罚而提升对企业在个人隐私保护方面的信心。
网络安全及取证公司 Enterprise Knowledge Partners 创始人玛丽·T·弗兰兹 (Mary T. Frantz) 是 Equifax 消费者集体诉讼的一名专家证人。她在声明中称,造成重大伤害的数据泄露事件刺激企业增大网络安全投资的力量在事情曝光当时激增。但随着时间的流逝,这种效果也会逐渐枯竭。
弗兰兹在和解协议的声明中写道:很多行业都存在一种现象,数据泄露发生后的一段时间里,企业向信息安全部门投入大量资金。但在一两年后,这些企业就开始大幅缩减信息安全投资,而且常常是在计划好的安全改善尚未完成之前就开始缩减了。
Equifax 承诺未来五年内将投注 10 亿美元用以改善安全,弗兰兹为此制定了宏大的规划。因为注意到 Equifax 的事前网络安全控制措施未达行业标准,弗兰兹给出的建议是从基于美国国家标准与技术局 (NIST) 的全面安全计划开始整顿该公司现存的不足。
Equifax教训值得深思
Equifax 案代表消费者的首席律师之一诺姆·西格尔 (Norm Siegel) 认为,安全人员和高管应深刻汲取 Equifax 数据泄露事件的教训。
我们成功收获了有意义的安全改善,包括受法庭指令支持的大笔资金承诺,这是该和解协议有望遏制管理层安全忽视的另一重要方面。
若不留心 Equifax 安全失策的教训,可能会有更多公司企业步 Equifax 后尘,遭遇更大型的法律诉讼。Equifax 和解案的另一名首席律师艾米·凯勒 (Amy Keller) 表示:消费者保护律师是让公司企业担责的重要人物。
和解协议表明消费者拒绝接受数据泄露事件将是 ‘新常态’,达成和解不仅补偿了消费者因数据泄露而损失的时间与金钱,也确保消费者未来有必要的工具可以保护自身。
在凯勒看来,该事件传达的消息非常明确:只要公司企业以数据盈利,他们就有责任保护好那些据。