Житель Оклахомы Рональд Аллен оказался одним из множества людей, чья жизнь стала сложнее в 2022 году после того, как данные клиентов, такие как имена, адреса электронной почты и даты рождения, были похищены у корейской электроники компании Samsung.
После того как Аллена уведомили о взломе, кто-то попытался открыть счет на его имя. Банк сообщил ему, что данные его кредитной карты были обнаружены на «Темной паутине», части интернета, где преступники часто продают и покупают личную информацию. Рональд говорит, что с тех пор много времени проводит на телефоне, отменяя счета, оспаривая списания и изменяя пароли. Он также еженедельно уделяет значительное время проверке своих финансовых счетов на наличие несанкционированной активности, как говорится в многодистриктном иске против Samsung.
Иск утверждал, что серия утечек данных была следствием слабых мер безопасности. Однако попытки привлечь Samsung к ответственности не увенчались успехом. Покупатели не смогли доказать, что именно из-за утечки их данные были скомпрометированы, как отметила окружной судья Кристина О’Херн из Нью-Джерси в своем заключении. Всегда есть вероятность, что информация была украдена, но неизвестно, произошло ли это именно из-за взлома данных у Samsung.
Samsung в своих юридических документах заявила, что, поскольку такие данные, как номера социального страхования и номера кредитных карт, не были украдены, и поскольку невозможно определить, использовалась ли информация из утечки в злонамеренных целях, у истцов нет дела. В своем ходатайстве об отмене дела юристы компании отметили, что суд должен отклонить коллективный иск о взломе данных, если истцы не смогли «должным образом указать» на ущерб, «вытекающий из утечки данных».
Такие инциденты, как утечка данных у Samsung, стали обычным явлением, поскольку люди и компании хранят все больше информации в интернете. По данным отчета Центра ресурсов по краже личных данных (ITRC), в 2024 году произошло 3 158 утечек данных, что на 70% больше по сравнению с 2021 годом, и в результате этого почти 1,7 миллиарда уведомлений было отправлено потенциально пострадавшим лицам.
В 2024 году произошло шесть мегауточек, каждая из которых затронула как минимум 100 миллионов жертв, по данным ITRC. Четыре из этих утечек могли быть предотвращены, если бы организации использовали многофакторную аутентификацию — метод безопасности, требующий от пользователей предоставления более одной формы аутентификации для доступа к аккаунту. Одна из компаний, вовлеченных в мегауточку, Change Healthcare, дочерняя компания United Health, подтвердила это на слушаниях в Конгрессе в мае 2024 года.
Каждая утечка данных делает последующие более вероятными. Когда хакеры крадут личную информацию, они могут использовать её для проникновения в системы других компаний и запуска новых утечек данных. Это, вероятно, одна из причин резкого увеличения количества утечек данных. Однако многие компании, пострадавшие от утечек, избегают серьезных последствий.
Хотя публичные компании и другие организации, регулируемые федеральным правительством, сталкиваются с более строгими финансовыми штрафами за утечки данных, лишь около 7% всех утечек приходится на публичные компании, по данным ITRC. Нет национального закона, регламентирующего, что должны делать остальные организации в случае компрометации. «У нас нет фактически действующего закона о конфиденциальности или никаких единых минимальных стандартов», говорит Джеймс Ли, президент ITRC.
Когда компания узнает о компрометации данных клиентов, ей может не понадобиться даже уведомлять об этом. Законы штатов определяют, что компания должна делать, если её информация была получена неавторизованным лицом. И в большинстве штатов, отмечает Ли, решение о потенциальной угрозе для людей может принимать сама компания. Если она определяет, что угрозы нет, ей не нужно отправлять уведомления. Даже если уведомления отправляются, в большинстве штатов компания может решать, что в них говорится, включая отказ от информирования клиентов о том, как информация была скомпрометирована или какие именно данные были украдены.
Разумеется, отправка уведомления клиентам мало чем им помогает. Они могут заморозить их кредитные линии или тщательно следить за своими счетами, но они не получат компенсации за потраченное время или возврата денег за компрометацию их данных. Для этого им придется судиться, или кто-то должен сделать это от их имени. Однако, как узнал Рональд Аллен, успешно подать в суд для возмещения убытков после утечки данных чрезвычайно сложно. Истцам нужно доказать, что они пострадали именно от нарушения. С учетом множества различных атак почти невозможно определить, какая из них вызвала проблемы у клиента.
В результате лишь немногие компании могут быть финансово привлечены к ответственности за утечки данных. Флорида даже приняла закон, предусматривающий, что компании не могут быть поданы в суд за такие утечки, если они показывают, что внедрили определенные меры безопасности.
Тем не менее, эксперты по безопасности говорят, что есть простые меры, которые компании могут принять для защиты информации, и многие этого не делают. Эти шаги включают в себя использование многофакторной аутентификации, обеспечение частой смены паролей сотрудниками и гарантии, что поставщики и другие сотрудничество-взаимодействия имеют соответствующие меры безопасности.
«Это своего рода цикл, в котором предыдущие утечки содействуют будущим», говорит Аарон Кукстра, директор команды по разведке угроз в Aon Cyber Solutions. «Но мы не видим, чтобы компании обязательно принимали меры, необходимые для предотвращения превращения этого в проблему в будущем».
Ли из ITRC надеется на принятие национального закона о конфиденциальности, который установил бы минимальные стандарты для того, какие меры кибербезопасности компании должны иметь и что они должны делать, если данные были скомпрометированы. Установление этих стандартов трудно, поскольку хакеры становятся все более продвинутыми, и компании должны постоянно менять свои процедуры безопасности, чтобы обеспечить безопасность информации. Но даже указание того, что компании должны предпринимать какие-то действия для защиты информации клиентов, было бы значительным шагом в верном направлении.
Источник: Time
