Нарушение данных со стороны третьих лиц стало визитной карточкой нынешнего года. Подобные инциденты поражают не только своей частотой, но и масштабными последствиями для компаний. Потенциальные риски утечки информации возникают при сотрудничестве с поставщиками, деловыми партнерами и иными заинтересованными лицами. Фирмы могут потерять как лояльность клиентов, так и столкнуться с высокими штрафами при нарушении правил хранения данных.

Лауреаты кибер-атак

2019 год позволил выделить следующую топ-подборку компаний, чья репутация пострадала ввиду несоблюдения либо непродуманности политики обеспечения надежности персональной информации:

1.  Американское медицинское агентство по сбору платежей (AMCA)

AMCA известна как поставщик услуг по выставлению счетов для крупных медицинских компаний, таких как Quest Diagnostics, LabCorp и BioReference Laboratories. Третьи лица, по примеру AMCA, хранят некоторые конфиденциальные данные пациентов, которые могут быть использованы злоумышленниками для кражи персональных сведений, страхового мошенничества, получения финансовой выгоды или даже элементарного шантажа.

Нарушение данных имело место с 1 августа 2018 года по 30 марта 2019 года. Утечка привела к компрометации частной информации 20 млн. американцев, раскрыв имя, дату рождения клиента, информацию о поставщике и денежном балансе.

Указанный случай наглядно иллюстрирует катастрофические результаты несоблюдения принятых регуляторных норм. Так, AMCA столкнулась с необходимостью выплаты огромных штрафов за нарушение законодательства о медицинском страховании (HIPAA). Более того, четыре крупнейших клиента компании прекратили работу с AMCA, а многие пользователи подали групповые иски против фирмы. AMCA не оставалось ничего, кроме как объявить о банкротстве.

2. Evite

В мае нынешнего года компания Evite, онлайн-служба текстовых приглашений, заявила, что неизвестная внешняя сторона получила доступ к серверам и, соответственно, к личным данным клиентов фирмы. На тот момент подсчеты свелись к 10 млн. пользователям, чья персональная информация оказалась в открытом доступе. Однако в более поздних сообщениях говорилось, что число жертв кибер-атаки достигает около 100 млн. человек.

Многие эксперты сходятся во мнении, что компания Evite, вероятнее всего, не воспринималась в качестве приоритетного партнера большинством фирм, которые интегрировали ее продукцию в собственные предложения. Но, согласно новому регламенту GDPR (General Data Protection Regulation), Evite рассматривается именно как активный обработчик персональных сведений. Данный статус означает, что любые проблемы с обработкой личной информации являются сферой ответственности компании, отвечающей за ее использование и хранение. Следовательно, предприятия обязаны уведомить своих пользователей о взломе данных, допущенной со стороны компании Evite.

3. Таможня и охрана границ США

В июне было обнаружено, что подрядчик таможенной службы подвергся кибер-атаке. Были представлены фотографии лиц, пересекающих границу, и копии изображений автомобильного номерного знака. Представитель таможни предупредил членов Конгресса, отказался от эксплуатации оборудования субподрядчика и заявил о намерении контролировать его работу.

Федеральный закон об информационных системах (FISMA) 2002 года – после правки 2014 года, Федеральный закон о модернизации информационной безопасности, — предписывает внедрение инновационных методов защиты данных и информационных систем. Подрядчики федерального правительства обязаны соблюдать правила FISMA посредством имплементации методов контроля информационной безопасности, разработанных Национальным институтом стандартов и технологий (NIST). NIST требует управления потоком CUI (контролируемой неклассифицированной информации) с утвержденными полномочиями.

Хотя остается неизвестным, какое из установленных правил было нарушено, не вызывает сомнений факт нарушения данных ввиду несоблюдения указанных предписаний.

4. Гостиничная сфера

В июле 2019 года специалисты обнаружили незащищенную базу данных, содержащую данные клиентов компании Choice Hotels. В общей сложности было раскрыто 5,6 млн. записей, причем 700 000 из них содержали информацию об именах, адресах электронной почты и номерах телефонов гостей. По всей видимости, программа сбора данных функционировала в течение 4 дней. Администрация Choice Hotels заявила, что в указанное время база данных компании обслуживалась поставщиком-партнером.

Также была обнаружена записка с требованием выкупа в размере 4000 долларов за сохранность 700 000 скопированных записей. Похищенная информация может, в конечном итоге, использоваться в специализированных фишинговых кампаниях или для увеличения количества спама.

Указанный случай вновь свидетельствует о целесообразности выполнения предписаний GDPR. В том случае, если украденные данные содержали информацию о гостях в Европе, представители Choice Hotels должны были уведомить клиентов о нарушении. Кроме того, поскольку у компании нет европейской штаб-квартиры, они не могут отчитываться перед одной регулирующей инстанцией. Скорее всего, им следовало уведомить соответствующие органы власти в тех европейских странах, где расположены филиалы Choice Hotels.

5. Monster.com

В сентябре нынешнего года, в сети был обнаружен открытый веб-сервер, на котором хранятся тысячи резюме соискателей с сайта Monster.com. Резюме содержали личную информацию пользователей, такую ​​как номера телефонов, домашние адреса, электронную почту, а также сведения о предыдущем опыте работы.

Компания заявила, что сервер принадлежит анонимному пользователю-рекрутеру, с которым она больше не сотрудничает. Представители фирмы также сообщили, что, поскольку компания-рекрутер приобрела доступ к персональным данным, именно на нее возлагаются полномочия уведомить пользователей об утечке информации.

Хотя Monster.com отметил, что не несет ответственности за сведения, приобретенные третьим лицом, в соответствии с Законом о защите прав потребителей Калифорнии, компания обязана предоставлять клиентам право отказаться от продажи личной информации третьим сторонам. По мнению Д. Голдмана, как только Закон о неприкосновенности частных сведений вступит в силу, отказ клиентам в предоставлении этого права, несомненно, приведет к большим штрафам (Статья «Compliance Takeaways from 5 Third-Party Data Breaches in 2019» для Corporate Compliance Insights, 2019).

В заключение стоит упомянуть, что во избежание штрафов за несоблюдение нормативных требований, компаниям необходимо внедрять процессы управления сбором и обменом данными, а также оценки и постоянного мониторинга третьих сторон, имеющих доступ к конфиденциальной информации. Для минимизации риска потенциальных нарушений, предприятиям следует оценить состояние безопасности поставщика, устранить выявленные пробелы в системе защиты, проявлять бдительность относительно способа передачи данных поставщику, постоянно контролировать готовность третьих сторон к кибер-атакам, а также работать над установлением доверительных отношений с партнерами. Последний пункт особенно важен в обеспечении безопасности «тылов» компании.

 

Источник:

https://www.corporatecomplianceinsights.com/compliance-takeaways-third-party-breaches/

Читайте также: