2019 年好几家企业的数据泄露事故被判处高额罚款,这说明监管部门对这些无法妥当维护客户数据信息的安排的承受度越来越愈低。在法国,英国航空公司遭到了创记录的 2.3 亿美金罚款,略逊一筹的是对万豪集团的 1.24 亿美金罚款。而在国外,Equifax 允许为其 2017 年的违规操作付款最少 5.75 亿美金。
特别注意的是,罚款在企业数据泄露损失中常占的占比非常少,依据诺顿杀毒软件 2019 年的企业数据泄露成本分析报告(下面的图),企业数据泄露事故损失的前五项分别是:个人信用/商业保险损失、外界权威专家招骋、业务流程损失、媒体公关成本费和内部结构(安全性职位)涨薪。
以附加的(安全性职位)涨薪为例子,Equifax 的 CISO 在数据泄露事故产生前年收入仅有几十万美金,但在规模性数据泄露事故后,该职位工资马上飙涨到了近 300 万美金。
因而,在我们观看下边这一数据泄露罚款 TOP10 排行榜时,理应清晰这种罚款额度仅仅企业数据泄露整体成本费的一小部分。
第一名 Equifax:高过5.75亿美金
2017 年,因为一个数据库查询未立即安裝 Apache Struts 架构的比较严重漏洞修复,Equifax 损失了近 1.5 万件本人和财务数据。
2019 年 7 月,Equifax 允许向联邦贸易委员会,顾客金融业保护局 (CFPB) 及其英国全部 50 个州和地域就该公司的“事故” 付款 5.75 亿美金,很有可能增加到 7 亿美金。并服务承诺采用有效的办法来保障其互联网。
第二名 英国航空:2.3亿美金
以往一年中欧盟国家《通用数据保护条例》(GDPR) 的惩罚措施大多数比较轻,对欧洲大陆企业与数据泄露相关的罚款通常不超过数十万欧。
当大家都认为 GDPR 的震撼力将慢慢消退时,英国航空收到了创记录的 1.83 亿英镑(折合2.3亿美金)的罚款单,这也是目前为止最多的数据泄露罚款,超出了uber在 2018 年付款的 1.48 亿美金。依据 ICO 的调研,英国航空本次数据泄露事故来源于槽糕的安全工作,对第三方经销商脚本制作的安全性审批粗心大意。显而易见,GDPR 已变成将安全系数提升到股东会审议日程的首要推动力之一。
第三名 Uber:1.48亿美金
2016 年,网约车软件 Uber 泄漏了 60 万驾驶员和 5700 万客户账户信息内容。该公司沒有公布该事情,反而是向肇事人付款了 10 万美金,尝试漫天过海。可是,这种个人行为使企业投入了厚重的成本。该企业在2018年因违背州数据泄露通告法而被罚款 1.48 亿美金,是那时候在历史上最高的数据泄露罚款。
第四名 万豪国际:1.24亿美金
GDPR 的罚款如同等公交车:大半天不来一辆,一来便是二辆。在对英国航空公司 (British Airways) 惩处刷新纪录的罚款后几日,ICO 就因数据泄露而再度对万豪国际惩处第二笔高额罚款。
在高达 5 亿顾客的支付信息内容,名字,详细地址,联系电话,电子邮箱地址和护照号遭受泄漏后,万豪国际酒店集团公司被罚款 9900 万(折合1.24亿美金)。网络攻击在喜达屋酒店互联网上埋伏了长达四年的時间,而在喜达屋于 2015 年将其回收后,进攻不断了大概三年。
依据 ICO 的申明,喜达屋 “在回收喜达屋酒店时未开展多方面的财务尽职调查,网络信息安全层面工作中缺乏。” 这个酒店餐厅连锁加盟店还被土尔其个人信息保护局(没有在GDPR法律下)惩处 150 万里拉(折合265,000美金)的罚款,这彰显了一次违规操作很有可能造成全世界范畴内的多次罚款。
第五名 yahoo:8500万美金
2013 年,yahoo因网络安全问题造成规模性数据泄露,危害了大概 30 亿次账号(几乎是所有互联网技术人口总数)。可是,该公司三年来一直沒有表露这种信息内容。
2018 年 4 月,英国股票交易联合会 (SEC) 因无法公布违规操作对雅虎公司惩处 3500 万美金的罚款。上年 9 月,yahoo的新一任老总 Altaba 认可,它早已解决了因违反规定而致使的集体诉讼,额度达到 5000 万美金。
第六名 易购金融机构(Tesco Bank):2,100万美金
易购金融机构是法国超市连锁店Tesco的零售银行单位,2016 年该金融机构的 9000 个顾客帐户总计被网络黑客 “劫走” 近 300 万美金,被英国金融个人行为管理处 (FCA) 惩处 2120 万美金罚款。FCA 斥责 Tesco在其储蓄卡设计方案,金融犯罪操纵及其其金融犯罪行为精英团队中存有 “缺点”。
第七名 Target:1850万美金
2017 年,零售业大佬 Target 允许与 47 个州和哥伦比亚特区达到一项 1850 万美金的和解书,该协议书涉及到的数据泄露事故产生在 2013 年感恩节活动后的黑色星期五市场销售高峰期期内,约 4000 万只银行信用卡和储蓄卡账号失窃。之后的调研发觉,网络攻击还盗取了高达 7000 万本人的名字,详细地址,联系电话和电子邮箱地址。与违反规定有关的成本费用超出 2 亿美金。
第八名 Anthem:1600万美金
英国身心健康车险公司 Anthem 在 2015 年遭到数据泄露,危害了 7900 数万人。泄漏信息内容包含名字,生日,社保号和诊疗身份证件。2018 年 10 月,该企业因违背《健康保险可携带性和责任法案》(HIPAA) 而被英国环境卫生与公共性服务中心罚款 1600 万美金。除此之外,该企业在 2017 年为处理与违反规定相关的集体诉讼付款了 1.15 亿美金的赔付。
第九名 1&1 Telecom:1,060万美金
派发 GDPR 罚款单的不但是外国的 ICO。法国网络托管企业 1&1 因未采用 “充足的技术性和组织措施” 避免没经认证的工作人员得到客户资料访问限制而被德国联邦个人信息保护和信息内容任意运营专员 (BfDI) 罚款 955 万欧(1,060万美金)。1&1Telecom 的身份认证全过程有比较严重系统漏洞,呼叫者只需给予她们总体目标本人的名字与生日,就可以获得其信息内容。
相近的 GDPR 罚款还包含:对德国邮政快递单位惩处 1800 万英镑的罚款,以解决数据信息核心的政冶主从关系;对法国房产公司 Deutsche Wohnen 惩处 1,450 万英镑的罚款,缘故是该企业不会再应用客户资料后留下了客户资料。
第十名 德克萨斯大学马里兰州德克尔癌病核心:430万美金
2018 年 6 月,大法官保持了对德克萨斯大学 MD 德克尔癌病核心因违背 HIPAA 要求而被罚款 430 万美金的决策。癌病核心在 2012 年至 2013 年里遭到了 3 次数据泄露,造成超出 33,500 本人的健康服务遗失。
特别注意的是,三次数据泄露都是由于工作人员安全防范意识欠缺:有一次泄漏是由于一台未数据加密的笔记本从职工居所失窃。别的2次则是由于遗失未数据加密的 U 盘。
本次数据泄露事故中,均值每一个用户账户数据泄露的罚款成本费约 128 美金。
【文中是51CTO栏目创作者“李少鹏”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章