Федеральная торговая комиссия США в понедельник объявил о том, что Эквифакс согласилась выплатить не менее 575 млн. долларов США в рамках урегулирования претензий к нему, вытекающие из 2017 данные нарушения, которые повлияли 147 миллионов американцев.
Урегулирования с КДК, Бюро по финансовой защите потребителей, и в 50 государствах и на территориях, потенциально может достигнуть 700 млн. долл.
В своей жалобе против Эквифакс и КДК утверждается, что в кредитном агентстве не смогли обеспечить огромное количество личной информации, хранящейся на свою сеть, что приводит к нарушения, которые подвергаются миллионы имен и даты рождения, номера социального страхования, физические адреса и другую личную информацию, которая может привести к краже личных данных и мошенничестве.
В рамках предлагаемого урегулирования, Equifax и и будет платить 300 миллионов долларов для финансирования услуг кредитного мониторинга для потребителей.
Фонд также компенсирует потребителей, которые купили кредитных или услуги мониторинга личности от Эквифакса и платят другие накладные расходы, в результате утечки данных.
Дополнительные 125 млн долларов будет добавлен, если начальный уровень финансирования должен падать меньше суммы, необходимой для компенсации потребителям потерь.
Более того, начиная с января 2020 года, Эквифакс и будет обеспечивать все потребители в США три бесплатные кредитные отчеты каждый год в течение семи лет-в дополнение к один бесплатный годовой кредитный отчет, Equifax и и два других общенациональных кредитной отчетности учреждений в настоящее время необходимо предоставить по запросу.
Компания также согласилась выплатить $175 млн в 48 штатах, округе Колумбия Пуэрто-Рико и, а также 100 миллионов долларов на банкротстве в гражданско-правовых санкциях.
«Компании, которые получают прибыль от личной информации, иметь дополнительную ответственность, чтобы защитить и защитить эти данные», — сказал председатель КДК Джо Саймонс сказал.
«Это соглашение обязывает компании принимать меры для повышения безопасности данных в будущем, и будет гарантировать, что потребители пострадали от этого нарушения, может помочь защитить себя от кражи личности и мошенничества», — добавил он.
Более Большие Выплаты Денег
Помимо финансовых условий в поселке, Equifax и согласился и внедрить комплексную программу информационной безопасности, которая включает следующие меры:
- Назначение работника по надзору за программы информационной безопасности;
- Проведение ежегодной оценки внутренних и внешних угроз безопасности, и применению гарантий в целях устранения потенциальных рисков, в том числе управление исправлениями и политики обновлений безопасности, механизмы заражения сети и другие средства защиты;
- Получение годовой аттестации с доски Эквифакс директоров или соответствующего подкомитета, подтверждающий, что предприятие выполнило заказ, в том числе требований к информационной безопасности;
- Тестирования и мониторинга эффективности мер безопасности; и
- Обеспечение поставщиков услуг, процедур доступа к личной информации, хранящейся на Эквифаксе и реализовать адекватные меры по защите таких данных.
Для обеспечения соблюдения соглашения, Equifax и и должны получить стороннюю оценку своей программы информационной безопасности каждые два года. Эксперты обязаны по соглашению указать факты, которые подтверждают их выводы и проводить независимые выборки, интервью сотрудников и анализа документов. Кроме того, КДК имеет последнее слово по любым оценщиком выбраны Эквифакс.
Заказ также требует, Эквифакс и обеспечить ежегодное обновление в КДК о состоянии процесса по претензиям потребителей.
КДК создал адрес электронной почты, посвященная Equifax и whistelblowers и:
equifax@ftc.gov.
Доказывая Вред
Хотя минималки КДК колышки Эквифакс и на 525 млн. долл. США, фактические выплаты могут быть ниже, чем та, ухоженные Тед Россман, аналитик по
CreditCards.com.
«Они будут просить людей утверждают, как они пострадали финансово от этого,» сказал он в электронной коммерции.
«В то время как это было большим нарушением, информация никогда не появлялась на темной паутины, и люди не пострадали в финансовом отношении так же, как мы все боялись,» Россман наблюдается.
«Похоже, что это был какой-то кражи со стороны правительства или спецслужбы», — продолжил он. «Это не было денежное воровство, как бы это была кража информации, поэтому я не думаю, что люди будут в состоянии требовать полной финансовой выгоды».
Общее приношение жертвы утечки данных является кредитный мониторинг.
«Это пустой жест», — заявил Роберт Цаттанацх, партнер
Дорси & Уитни, международная юридическая фирма, базирующаяся в Нью-Йорке.
«Я делаю много случаев таких, и меньше чем 10 процентов людей, которые предоставляет кредитный мониторинг на самом деле взять его,» он сказал в электронной коммерции.
«Это, конечно, важно для потребителей, чтобы контролировать свой кредит, но если есть проблемы, то реальная задача состоит в борьбе с мошенничеством и активно восстанавливает поврежденные кредита», — сказал Вилли Лейхтера, вице-президент по маркетингу
Virsec, приложения безопасности компании.
«Бесплатная отчетность не делает ничего из этого,» сказал он в электронной коммерции.
Руководящие принципы для выплат потребителям из фонда, Эквифакс и до сих пор не установлено. «Это будет интересно посмотреть, какие претензии они будут принимать, что их критерии будут, и сколько денег они будут платить», — сказал Даниэль Кастро, вице-президент, если, информационных технологий и инновационного фонда, научные исследования и государственная политика организации в Вашингтоне, округ Колумбия.
«Там много денег, но это, кажется, большая часть денег идет на юристов», — сказал он в электронной коммерции. «Это одна из проблем при создании частное право на действие для этих случаев утечки данных. Это создает больше возможностей для юристов разгребать в массивных сборов по населенным пунктам. Потребители часто вижу очень мало ощутимое влияние».
Более чем пощечину запястья
Это последний крупный поселок за данные нарушения, как представляется, будет сигналом для бизнеса, что регуляторы принимают всерьез эту проблему.
«Когда Эквифакс и Британской нарушения дыхательных путей произошло в 2017 году, казалось, что регуляторы позволили бы им легко отделался шлепком по рукам», — отметил Дипак Патель, евангелист по безопасности
PerimeterX, веб-безопасности провайдера в Сан-Матео, штат Калифорния.
«КДК и GDPR навязываете значимые штрафы для этих крупных корпораций к ответственности за нарушения, вовлекающие конфиденциальных данных пользователя», — сказал он в электронной коммерции.
Недавно Британские авиалинии был оштрафован на 230 $млн под ЕС GDPR (общее регулирование защиты данных) за сбоя сайта, которые влияют на личные данные около полумиллиона клиентов.
GDPR Штрафы не могут превышать 4 процентов мирового дохода, отметить Котари Правин, генеральный директор
CipherCloud, облако безопасности, поставщиков в Сан-Хосе, штат Калифорния.
Однако, КДК достигли соглашения с некоторыми компаниями гораздо выше, чем. Соглашение с Facebook составило около 9 процентов от выручки, а сделка Эквифакс и составляет около 25 процентов.
«Это создает прецедент, и тревожным звонком для всех предприятий должны быть предельно внимательными», — сказал Котари в электронной коммерции.
«Тем не менее, многие предприятия еще не делает достаточно, чтобы защитить конфиденциальную информацию своих клиентов. Они не понимают, что Интернет и облачные сервисы не пуля-доказательство», — сказал он. «Они предполагают, что их информация является безопасной с поставщиками услуг, но простую ошибку, баг, или злоупотребление по API может вызвать серьезные воздействия и хаос.»
Переложив расходы на жуликов
Большие штрафы не изменяет риск уравнений, что многие предприятия используют для принятия решений на уровень их безопасности инвестиций, отметил Virsec это теперь должен играть аккуратнее, «но с учетом масштаба Эквифакс и нарушения, этот штраф является относительно легкие и могут иметь значительного влияния на другие предприятия и непосредственного влияния на повышение потребительской безопасности».
Большие штрафы могут побудить компании больше инвестировать в кибербезопасность, но то, что действительно необходимо, так это приверженность, ухоженные Джордж Торстен, евангелист кибербезопасности centrify служба служба, проверки подлинности и контроля доступа компании в Санта-Кларе, Калифорния.
«Компании должны внести решающий вклад в защиту конфиденциальных данных клиентов,» сказал он в электронной коммерции. «Без этого обязательства и подход к кибербезопасности, что может сделать реальную разницу в современном threatscape и против современных нападающих, эти населенные пункты не сделает заметную разницу.»
Защита данных должна стать более личной, особенно для руководителей компаний, предложил Тим Bedard, директор по продуктам безопасности по маркетингу
OneSpan, проверки подлинности и фальсификации анализ компании в Чикаго.
«Пока регуляторы внедрять новые соответствия и правила проведения исполнительного руководства организаций персональную ответственность за обеспечение безопасности и защиты персональных потребителей персональную информацию, то будущее массовых поселениях будут только до сих пор,» сказал он в электронной коммерции.
«Потребители не должны нести расходы по компьютерной преступности, но не следует других жертв преступлений, как поставщика», — сказал Клаузер Михаил, руководитель отдела данных и доверия
Партнерства доступ к публичной глобальной политики фирмы, выступающей в технологическом секторе, с офисами на пяти континентах.
«В конечном счете, правительств, поставщиков и потребителей нужно будет найти способ переложить upstack затраты в уголовно-актер,» он сказал в электронной коммерции. «Я думаю, что со временем, новые технологии, в том числе ИИ, сделает это реальностью».
