信息化觀察網(wǎng)

2017 年的數(shù)據(jù)泄露事件令 Equifax 承受了數(shù)十億美元損失、客戶賠償和強(qiáng)制及自愿安全改善。靠客戶數(shù)據(jù)盈利的所有公司企業(yè)都應(yīng)引起注意。

7 月 22 日，Equifax 宣布接受金額創(chuàng)紀(jì)錄的和解協(xié)議，了結(jié)了這樁導(dǎo)致 1.48 億人個(gè)人信息及財(cái)務(wù)記錄暴露的大規(guī)模數(shù)據(jù)泄露事件。這家四面楚歌的信用評級機(jī)構(gòu)需支付至少 13.8 億美元的消費(fèi)者索賠金。受泄露事件影響的消費(fèi)者可得到現(xiàn)金補(bǔ)償、信用監(jiān)視和身份恢復(fù)幫助，所需資金由該公司投注的 3.805 億非復(fù)歸基金支出。

協(xié)議還要求 Equifax 另外支付 1.25 億美元的現(xiàn)金賠償，且如果報(bào)名信用監(jiān)視的人數(shù)超過 700 萬，該公司需支付的數(shù)額還將大幅增加。此外，Equifax 還需支付 1.75 億美元的罰款以平息州檢察官的調(diào)查，美國消費(fèi)者金融保護(hù)局和聯(lián)邦貿(mào)易委員會 (FTC) 的調(diào)查也需 1 億美元平復(fù)。

最后，未來五年內(nèi)，Equifax 還必須拿出 10 億美元改善其數(shù)據(jù)安全。而且，這還是在 Equifax 自事件發(fā)生后已在安全及技術(shù)方面投入 12.5 億美元的基礎(chǔ)上。

Equifax數(shù)據(jù)泄露事件的傷害還在進(jìn)一步深化

重懲之前，Equifax 已遭受了近兩年持續(xù)不斷的打擊。數(shù)據(jù)泄露事件曝光及 Equifax 自身糟糕的應(yīng)對工作，導(dǎo)致其首席執(zhí)行官(CEO) 理查德·史密斯 (Richard Smith)， 緊隨首席信息官 (CIO) 大衛(wèi)·韋伯 (David Webb) 和首席安全官 (CSO) 蘇珊·默爾丁 (Susan Mauldin) 的突然解職，離開公司。

6 月下旬，因涉嫌在數(shù)據(jù)泄露事件發(fā)現(xiàn)至公開期間進(jìn)行公司股票內(nèi)幕交易，Equifax 前副總裁兼國際 CIO 應(yīng)駿（Jun Ying，音譯）被判四個(gè)月監(jiān)禁和償還約 11.7 萬美元，并被判處 5.5 萬美元罰金。去年 10 月，前 Equifax 工程師蘇哈卡·雷迪·邦圖 (Sudhakar Reddy Bonthu) 同樣被判內(nèi)幕交易，責(zé)令償還交易所得，只不過邦圖只需在家禁足八個(gè)月而無需入獄。

5 月下旬，投資評級巨頭穆迪公司 (Moody’s) 大幅調(diào)低 Equifax 前景展望，將之從穩(wěn)定降為負(fù)面。這還是穆迪公司首次因網(wǎng)絡(luò)攻擊而調(diào)低一家公司的前景級別。對此，穆迪公司給出的解釋是：鑒于其 2019 和 2020 年數(shù)據(jù)泄露相關(guān)開銷可能在 4 億美元左右，我們看不到 Equifax 的未來有任何光明的跡象。

美國眾議院監(jiān)督與政府改革委員會認(rèn)為 Equifax 數(shù)據(jù)泄露事件“完全可以避免”。而對 Equifax 加以制裁的政府還不止美國一家。

去年 9 月，英國數(shù)據(jù)監(jiān)管機(jī)構(gòu)信息專員辦公室 (ICO) 對 Equifax 處以 50 萬英鎊（66.4 萬美元）罰款，罪名是未能保護(hù)好受該數(shù)據(jù)泄露事件影響的 1,500 萬英國公民個(gè)人數(shù)據(jù)。

ICO 的罰款其實(shí)給了 Equifax 一定的喘息，因?yàn)樵撌录l(fā)生得太早，逃過了 2018 年 5 月才生效的歐盟《通用數(shù)據(jù)保護(hù)條例》 (GDPR) 處罰。GDPR 的金融處罰規(guī)定可是比 ICO 嚴(yán)厲得多。按 GDPR 最高 4% 全球營業(yè)額的處罰規(guī)定，Equifax 可遭致約 1.36 億美元罰款，與近期 ICO 對另外兩家企業(yè)開出的數(shù)據(jù)泄露罰單持平。

7 月初，ICO 宣布計(jì)劃罰去英國航空公司 1.83 億英鎊（約2.3 億美元），因?yàn)?2018 年 6 月開始的數(shù)據(jù)泄露事件中該航空公司約 50 萬客戶的個(gè)人數(shù)據(jù)被盜，被盜數(shù)據(jù)中甚至還包括了支付卡數(shù)據(jù)。還是在 7 月初，ICO 宣稱要對美國酒店業(yè)巨頭萬豪國際處以 9,920 萬英鎊（約 1.23 億美元）罰款，緣由是一起 2018 年發(fā)現(xiàn)但可追溯至 2014 年的數(shù)據(jù)泄露事件。該事件影響萬豪旗下喜達(dá)屋酒店集團(tuán)，暴露了約 3.39 億顧客的隱私數(shù)據(jù)。

罰款并不能改善安全

盡管近期出現(xiàn)了如此多罰金高昂的大型數(shù)據(jù)泄露事件，信息安全人員仍然心知肚明：絕大多數(shù)首席高管，尤其是 Equifax、英國航空和萬豪集團(tuán)之類的大企業(yè)，還是不會對網(wǎng)絡(luò)安全投注必要的重視以規(guī)避此類金融處罰。增加對安全疏漏的曝光度及處罰力度，是否能推動(dòng)企業(yè)尋求更嚴(yán)格的安全措施，是否能 “逼迫” 企業(yè)投資更好的數(shù)字安全防護(hù)，仍是未知數(shù)。

Tripwire 近期在推特上發(fā)起了一場關(guān)于 “合規(guī)罰金力度” 的調(diào)查。結(jié)果顯示，約有 45% 的人認(rèn)為懲罰金額合適，幾乎同樣數(shù)量的受訪者 (43%) 則認(rèn)為遠(yuǎn)遠(yuǎn)不夠；僅有 12% 認(rèn)為處罰的力度過大。同時(shí)，有超過半數(shù) (52%) 的參與者表示，認(rèn)為這些懲罰會讓企業(yè)在安全性方面的策略和做法做出些許改變；但也有 22% 的受訪者認(rèn)為，這些懲罰無足輕重。此外，71% 的受訪者表示，不會因?yàn)橄嚓P(guān)合規(guī)要求的懲罰而提升對企業(yè)在個(gè)人隱私保護(hù)方面的信心。

網(wǎng)絡(luò)安全及取證公司 Enterprise Knowledge Partners 創(chuàng)始人瑪麗·T·弗蘭茲 (Mary T. Frantz) 是 Equifax 消費(fèi)者集體訴訟的一名專家證人。她在聲明中稱，造成重大傷害的數(shù)據(jù)泄露事件刺激企業(yè)增大網(wǎng)絡(luò)安全投資的力量在事情曝光當(dāng)時(shí)激增。但隨著時(shí)間的流逝，這種效果也會逐漸枯竭。

弗蘭茲在和解協(xié)議的聲明中寫道：很多行業(yè)都存在一種現(xiàn)象，數(shù)據(jù)泄露發(fā)生后的一段時(shí)間里，企業(yè)向信息安全部門投入大量資金。但在一兩年后，這些企業(yè)就開始大幅縮減信息安全投資，而且常常是在計(jì)劃好的安全改善尚未完成之前就開始縮減了。

Equifax 承諾未來五年內(nèi)將投注 10 億美元用以改善安全，弗蘭茲為此制定了宏大的規(guī)劃。因?yàn)樽⒁獾?Equifax 的事前網(wǎng)絡(luò)安全控制措施未達(dá)行業(yè)標(biāo)準(zhǔn)，弗蘭茲給出的建議是從基于美國國家標(biāo)準(zhǔn)與技術(shù)局 (NIST) 的全面安全計(jì)劃開始整頓該公司現(xiàn)存的不足。

Equifax教訓(xùn)值得深思

Equifax 案代表消費(fèi)者的首席律師之一諾姆·西格爾 (Norm Siegel) 認(rèn)為，安全人員和高管應(yīng)深刻汲取 Equifax 數(shù)據(jù)泄露事件的教訓(xùn)。

我們成功收獲了有意義的安全改善，包括受法庭指令支持的大筆資金承諾，這是該和解協(xié)議有望遏制管理層安全忽視的另一重要方面。

若不留心 Equifax 安全失策的教訓(xùn)，可能會有更多公司企業(yè)步 Equifax 后塵，遭遇更大型的法律訴訟。Equifax 和解案的另一名首席律師艾米·凱勒 (Amy Keller) 表示：消費(fèi)者保護(hù)律師是讓公司企業(yè)擔(dān)責(zé)的重要人物。

和解協(xié)議表明消費(fèi)者拒絕接受數(shù)據(jù)泄露事件將是 ‘新常態(tài)’，達(dá)成和解不僅補(bǔ)償了消費(fèi)者因數(shù)據(jù)泄露而損失的時(shí)間與金錢，也確保消費(fèi)者未來有必要的工具可以保護(hù)自身。

在凱勒看來，該事件傳達(dá)的消息非常明確：只要公司企業(yè)以數(shù)據(jù)盈利，他們就有責(zé)任保護(hù)好那些據(jù)。