Штраф является результатом многоступенчатого расследования, в результате которого выяснилось, что Uber заплатил хакерам 100 000 долларов, чтобы скрыть утечку данных.
Uber согласился заплатить рекордные $ 148 миллионов государственных и местных штрафов за урегулирование претензий о том, что компания намеренно скрыла серьезное хищение данных в 2016 году, в результате которого были раскрыты личные данные 57 миллионов человек, сообщил офис Калифорнийского прокурора Ксавьера Безерры.
Урегулирование происходит после многоступенчатого расследования, в результате которого компания, оказывающая услуги такси, заплатила хакерам 100 000 долларов, чтобы скрыть кражу данных, которые включали имена, адреса электронной почты и номера телефонов клиентов компании.
Совет директоров не знал о выкупе
Совет директоров компании был не в курсе о выплате выкупа хакерам до тех пор, пока это факт не был обнаружен юридической фирмой прошлой весной. Фирма была нанята для расследования деятельности службы безопасности компании по отдельному вопросу, но наткнулась на нарушение во время расследования. Затем правление наняло судебную фирму, чтобы выяснить, что произошло во время инцидента.
Через заявление генерального директора Дара Хосрошахи (Dara Khosrowshahi) в ноябре 2017 года Uber уведомил, что кража данных была осуществлена двумя хакерами за пределами компании. Хакеры получили доступ к пользовательским данным в сторонней облачной службе, которую компания использует для хранения некоторой информации. По данным компании, хакеры не смогли выгрузить номера социального страхования клиентов, информацию о банковском счете, номера кредитных карт, даты рождения и историю поездок.
По данным компании, хакеры смогли украсть имена, адреса электронной почты и номера телефонов из 57 миллионов человек, которые используют Uber, и номера водительских прав около 600 000 водителей.
Впоследствии Uber уведомил о краже персональных данных после расследования, но это произошло только через год после того, как произошел инцидент и был предоставлен выкуп хакерам.
Нарушение закона штата Калифорния
Доля штата Калифорния в сумме штрафа составляет 26 миллионов долларов и эта сумма будет поделена с канцелярией адвоката округа Сан-Франциско. Джордж Гаскон, который часто изучал деловую практику Uber, присоединился к расследованию о краже данных.
Безерра сказал, что Uber нарушил законы штата Калифорния, которые требуют от компаний защищать информацию клиентов и оперативно сообщать министерству юстиции о краже данных, затрагивающих более 500 человек. Более четверти из 600 000 водителей Uber, чьи данные были украдены, живут в Калифорнии.
По словам Безерры, деньги будут расходоваться на мероприятия по защите персональных данных.
«Любой, кто думает о том, чтобы попытаться уклониться от закона, чтобы возложить ответственность за информирование общественности или правоохранительных органов о том, что произошло кража данных ... лучше пусть сообщают об этом», - сказал Безерра. «Не думайте, что вы можете скрыть сам факт кражи данных и это сойдет вам с рук. Вы окажетесь в том же положении, что и Uber.
Работа по повышению безопасности и сохранности данных
Главный юрист Uber Тони Уэст заявил, что компания работает над улучшением безопасности и сохранности данных после инцидента и наняла новых экспертов для осуществления этих улучшений. Он сказал, что компания узнала о своей ошибке в 2016 году. «Решение нашей нынешней управленческой команды раскрыть инцидент было не только правильным делом, но и воплощением принципов, которыми мы сегодня управляем: прозрачность, целостность и подотчетность, - сказал Уэст. «Важным компонентом соблюдения этих принципов является принятие ответственности за прошлые ошибки, обучение на них и продвижение вперед».
Уведомление компании в 2017 году привело к общенациональному расследованию ее поведения в результате инцидента. Калифорния является одним из нескольких штатов, которые самостоятельно исследовали кражу данных, прежде чем объединиться с другими штатами.
Претензии к Uber выдвинуты всеми 50 штатами и округом Колумбия.
Разработана новая политика в области безопасности данных
Uber также пообещал разработать новую политику в области безопасности данных, которая будет оценивать потенциальный риск другого инцидента и реализовать улучшения, выходящие за рамки того, что в настоящее время существует. Компания должна нанимать внешнего подрядчика для регулярного изучения своих усилий по обеспечению безопасности и рекомендаций по улучшению.
Uber также должен будет принять дополнительные меры безопасности для защиты любых пользовательских данных, которые компания хранит на сторонних платформах, чтобы избежать хакерских атак, как это случилось в 2016 году. Если произойдет еще одна утечка данных, у сотрудников также есть возможность сообщить о любых проблемах, связанных с этикой других сотрудников. Теперь сотрудники также теперь будут подвергаться более строгим правилам предоставления пароля, чтобы получить доступ к внутренней сети компании.
Урегулирование претензий по текущему штрафу не предусматривает рассмотрение никаких претензий в отношении обязательств перед потребителями.
Киберпреступность – это наиболее серьезный вид техногенных угроз, с которыми сталкиваются компании
Неудивительно, что компании расходуют значительные людские и финансовые ресурсы для усиления защиты компьютерной сети и обучают своих сотрудников предотвращению утечки конфиденциальных данных. Это правильный подход. Но, к сожалению, никто не разработал надежный способ остановить хакеров, которые часто на шаг опережают свои цели с точки зрения методов атаки.
Если происходит утечка данных, компании должны быть готовы обнародовать факт утечки, сотрудничать в расследовании факта утечки и восстанавливаться. Страхование - отличный инструмент для оказания помощи в этих усилиях. Отрасли всех типов тратят огромные суммы денег, чтобы максимально обеспечить защиту их данных и информацию о клиентах. В случае отказа технической защиты и человеческого фактора отрасль страхования предлагает множество продуктов для предоставления экспертных услуг и покрытия расходов, понесенных в связи с утечкой данных.
Компании должны интересоваться, как они могут извлечь максимальную выгоду из продукта киберстрахования, и определить роль каждого сотрудника перед тем, как произойдет такое событие. Учитывая растущие проблемы киберугроз, с которыми сталкиваются сегодня предприятия, киберстрахование – это продукт, который стоит приобрести.
Подготовлено порталом Allinsurance.kz по материалам Property&Casualty360