最近很多企業(yè)數(shù)據(jù)泄露事故最終導(dǎo)致集體訴訟，并且，這些數(shù)據(jù)泄露訴訟還揭示了令人不安的趨勢(shì)：現(xiàn)在安全問(wèn)題的成本正在不斷增加。

目前并沒(méi)有重大數(shù)據(jù)泄露事故進(jìn)入法庭受審，雖然有些仍然懸而未決，但很多其他數(shù)據(jù)泄露事故都是選擇庭外和解，這給企業(yè)帶來(lái)高昂的損失，所涉企業(yè)需要支付數(shù)百萬(wàn)美元給原告——無(wú)論是客戶、員工、銀行還是信用卡公司。

與所有法律和解一樣，數(shù)據(jù)泄露事故和解并沒(méi)有判定誰(shuí)是罪魁禍?zhǔn)谆蛘咄嘎队嘘P(guān)事件本身的實(shí)質(zhì)性的細(xì)節(jié)信息。但和解費(fèi)用暗示這些集體訴訟可能在不久的將來(lái)造成巨大的數(shù)據(jù)泄露成本，這涉及到泄露了什么數(shù)據(jù)、誰(shuí)收到了影響以及哪些類(lèi)型的信息被泄露。

無(wú)論攻擊者嘗試從防御很差的POS系統(tǒng)挖掘信用卡數(shù)據(jù)還是從有漏洞技術(shù)(例如物聯(lián)網(wǎng)IOT)中搜尋個(gè)人身份信息(PII)，數(shù)據(jù)泄露事故仍在繼續(xù)發(fā)生，這些訴訟也沒(méi)有顯示放緩的跡象。同時(shí)，企業(yè)正在以蝸牛的速度提高安全性，防御和處理安全事故的財(cái)務(wù)費(fèi)用似乎越來(lái)越高，因?yàn)閿?shù)據(jù)泄露事故和解費(fèi)用已經(jīng)達(dá)到驚人的水平。

本文中，讓我們來(lái)看看這些數(shù)據(jù)泄露事故訴訟與和解，了解為什么企業(yè)在很大程度上發(fā)現(xiàn)自己處在這些法律糾紛的劣勢(shì)以及這對(duì)未來(lái)企業(yè)安全意味著什么。

數(shù)據(jù)泄露事故訴訟的根源

沒(méi)有哪家公司可100%抵御網(wǎng)絡(luò)犯罪分子、黑客和民族國(guó)家攻擊者，即使部署適當(dāng)?shù)陌踩胧?，企業(yè)仍然需要謹(jǐn)慎行事。專家表示企業(yè)必須付出很大努力來(lái)保護(hù)他們的基礎(chǔ)設(shè)施，以及保護(hù)客戶及員工數(shù)據(jù)，否則將面臨嚴(yán)重后果。

安全風(fēng)險(xiǎn)評(píng)估公司NetDiligence總裁Dave Chatfiled表示，當(dāng)涉及到信息安全時(shí)，根本沒(méi)有什么保證。

“安全顧問(wèn)會(huì)讓企業(yè)客戶采取各種安全做法，并讓他們相信數(shù)據(jù)泄露的可能性會(huì)隨著時(shí)間的推移而減少，”Chatfiled表示，“但我不相信會(huì)有任何安全供應(yīng)商對(duì)你說(shuō)，‘我們將保證你永遠(yuǎn)不會(huì)遭到泄露。’”

然而，需要注意的是，遭遇數(shù)據(jù)泄露的Target等公司自身也有過(guò)錯(cuò)，因?yàn)樗麄兊男畔踩渴鸩⒉蛔銐?。安全記者Brian Krebs獲取了一份內(nèi)部報(bào)告揭露Target公司IT系統(tǒng)中發(fā)現(xiàn)的問(wèn)題，執(zhí)行這個(gè)調(diào)查的Verizon安全顧問(wèn)能夠破解86% Target的密碼，這讓他們可訪問(wèn)內(nèi)部網(wǎng)絡(luò)。很多系統(tǒng)都已經(jīng)過(guò)時(shí)或者沒(méi)有修復(fù)安全漏洞，并且，通過(guò)利用明顯的漏洞，這些安全專家可完全訪問(wèn)包含所有敏感數(shù)據(jù)的網(wǎng)絡(luò)。

在過(guò)去幾年內(nèi)發(fā)生的很多重大數(shù)據(jù)泄露事故都面臨集體訴訟，然后庭外和解，從來(lái)沒(méi)有在法庭進(jìn)行審判。Chatfiled表示，這可能是因?yàn)樵庥鰯?shù)據(jù)泄露的公司沒(méi)什么可辯論，例如Target的案件，而庭外和解可讓企業(yè)快速向前發(fā)展，并可能躲過(guò)媒體的追逐。

“多年來(lái)，我們一直在等待這種集體訴訟可進(jìn)入法庭審判過(guò)程，但有很多原因讓所有各方都避免這種結(jié)果，可能因?yàn)檫@是最不可預(yù)知的結(jié)果，”Chatfiled說(shuō)道，“更有效的方法是在私下處理這些問(wèn)題，而不是推上法庭。”

數(shù)據(jù)泄露事故訴訟：新的先例?

信息管理律師Matthew Nelson表示，集體訴訟數(shù)據(jù)泄露有很高的庭外和解率，這是因?yàn)樵娑急仨氄故?ldquo;他們很可能因數(shù)據(jù)泄露而受到傷害”。但一張支付卡被盜并不足以支撐一個(gè)官司，因?yàn)榭蛻袈暦Q自己受到的傷害不能太投機(jī)。

今年我們看到一個(gè)先例：Neiman Marcus數(shù)據(jù)泄露事故案件。在這個(gè)案件中，原告認(rèn)為其財(cái)務(wù)數(shù)據(jù)被盜足以證明他們可能是受到2013年數(shù)據(jù)泄露事故的影響。最初，美國(guó)地方法院法官否決了這個(gè)訴訟，其理由是未經(jīng)授權(quán)信用卡收費(fèi)將會(huì)賠償給受影響的客戶，原告并沒(méi)有表現(xiàn)出受到明顯傷害或存在受傷害的風(fēng)險(xiǎn)。

但是，在今年夏天，美國(guó)第七巡回法院法官小組推翻了這一判決，并允許Neiman Marcus數(shù)據(jù)泄露事故訴訟案繼續(xù)向前推進(jìn)。該小組的判決表明，這里存在“客觀合理的可能性”，個(gè)人數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)被盜可能造成傷害，對(duì)欺詐性信用卡扣費(fèi)的報(bào)銷(xiāo)并不能保護(hù)原告免受其他潛在傷害，例如身份盜竊。Nelson表示，第七巡回法庭的判決對(duì)數(shù)據(jù)泄露事故訴訟可能產(chǎn)生重大影響。

“該法院讓這個(gè)集體訴訟案繼續(xù)向前推進(jìn)，因?yàn)榭蛻舨粦?yīng)該等到身份盜竊或信用卡盜竊發(fā)生后才讓原告受到懲罰，”Nelson表示，“這些事情可能會(huì)發(fā)生，這是非?？陀^合理的推測(cè)。”

在巡回法庭創(chuàng)下的先例可能意味著未來(lái)更多的數(shù)據(jù)泄露事故訴訟進(jìn)入法庭審判—無(wú)論是客戶還是員工的數(shù)據(jù)被泄露，這可能給企業(yè)帶來(lái)更高的數(shù)據(jù)泄露成本。

數(shù)據(jù)泄露事故成本比較

如果說(shuō)，未來(lái)將有更多數(shù)據(jù)泄露訴訟還不足以說(shuō)明問(wèn)題，企業(yè)數(shù)據(jù)泄露事故本身正變得越來(lái)越普遍。當(dāng)企業(yè)疏于保護(hù)客戶的個(gè)人數(shù)據(jù)，這會(huì)讓網(wǎng)絡(luò)罪犯有機(jī)可趁。但專家表示，對(duì)大型企業(yè)的有針對(duì)性攻擊更難以檢測(cè)和防御。

“攻擊者使用的技術(shù)越來(lái)越復(fù)雜，這種威脅在不斷發(fā)展，”Nelson稱，“例如，在我們的《互聯(lián)網(wǎng)安全威脅報(bào)告》中，零日漏洞正處于歷史高位。只要攻擊者成功入侵網(wǎng)絡(luò)，他們就可在較長(zhǎng)時(shí)間內(nèi)不被發(fā)現(xiàn)，這意味著他們可做更多的破壞。”

此外，數(shù)據(jù)泄露訴訟成本可能非常高昂，因?yàn)樾孤兜臄?shù)據(jù)越敏感，和解的費(fèi)用就越高。在一些情況中，和解費(fèi)用具體數(shù)目都沒(méi)有公開(kāi)。例如，在2013年Adobe數(shù)據(jù)泄露事故中，3800萬(wàn)客戶用戶名、電子郵件地址、加密的密碼和加密的信用卡號(hào)碼被盜，最后在今年夏天以未知金額在庭外和解。Adobe支付120萬(wàn)美元法律費(fèi)用作為和解的一部分，但實(shí)際支付給客戶的數(shù)額不詳。

其他和解則是公開(kāi)的，通過(guò)觀察最近和解的數(shù)據(jù)泄露訴訟(不同公司規(guī)模和行業(yè))，泄露的信息類(lèi)型以及和解數(shù)量之間似乎存在相關(guān)性。例如，在2012年的LinkedIn數(shù)據(jù)泄露事故中，650萬(wàn)用戶加密密碼被盜—隨后被黑客破解，這導(dǎo)致該社交網(wǎng)絡(luò)公司支付125萬(wàn)美元和解費(fèi)用，這些錢(qián)完全分配給80萬(wàn)LinkedIn高級(jí)訂閱用戶。

與此同時(shí)，在46萬(wàn)個(gè)人信息被盜后，健康保險(xiǎn)提供商AvMed公司花費(fèi)300萬(wàn)美元解決了這個(gè)數(shù)據(jù)泄露集體訴訟案。盡管受影響客戶只有LinkedIn的一半，但AvMed支付的和解費(fèi)用是其兩倍，為什么呢?AvMed被盜的數(shù)據(jù)包括敏感的PII，例如客戶的姓名、地址、社會(huì)安全號(hào)碼和醫(yī)療信息。

Nelson表示，“被盜數(shù)據(jù)的價(jià)值和和解費(fèi)用之間存在必然的關(guān)聯(lián)。”

有些數(shù)據(jù)泄露事故集體訴訟是由客戶提出，而還有些則是由銀行、信用卡公司和聯(lián)邦政府提出，下面讓我們看看最近的數(shù)據(jù)泄露和解：

· LinkedIn公司數(shù)據(jù)泄露事故影響600萬(wàn)用戶，其用戶名和密碼都被泄露。125萬(wàn)美元的和解資金只適用于80萬(wàn)擁有高檔訂閱的用戶。

· 在AvMed數(shù)據(jù)泄露事故中，超過(guò)100萬(wàn)的社會(huì)安全號(hào)碼和醫(yī)療記錄被泄露，該公司花費(fèi)310萬(wàn)美元來(lái)和解。

· 2013年的Target數(shù)據(jù)泄露事故影響超過(guò)1億用戶，其信用卡號(hào)碼、姓名、地址、電子郵件地址和電話號(hào)碼被盜。該零售巨頭為客戶集體訴訟和解支付1000萬(wàn)美元。

· 在與信用卡公司MasterCard和Visa的兩起相關(guān)訴訟中，Target公司分別以3900萬(wàn)美元和6700萬(wàn)美元完成和解。該和解協(xié)議涵蓋對(duì)受影響信用卡和借記卡銀行和其他金融服務(wù)公司的欺詐性收費(fèi)成本。

· 在這個(gè)月，Wyndham酒店及度假村同意為三起數(shù)據(jù)泄露事故與美國(guó)聯(lián)邦貿(mào)易委員會(huì)達(dá)成和解，據(jù)報(bào)道，這些泄露事故泄露了客戶的信用卡號(hào)碼。除了支付和解費(fèi)用，該酒店同意在未來(lái)20年都進(jìn)行年度IT安全審計(jì)，包括對(duì)PCI DSS合規(guī)的審計(jì)。

· 在2011年數(shù)據(jù)泄露事故中2萬(wàn)病人的醫(yī)療記錄被泄露后，斯坦福大學(xué)醫(yī)院及診所以410萬(wàn)美元達(dá)成庭外和解。

· 2011年索尼PlayStation網(wǎng)絡(luò)數(shù)據(jù)泄露事故影響7700萬(wàn)用戶，并且泄露了客戶姓名和地址、登錄憑證及加密的信用卡號(hào)碼。索尼以1500萬(wàn)美元和解，但該公司否認(rèn)有任何不當(dāng)行為。

· 在2014年年底，索尼影視娛樂(lè)公司遭受重大數(shù)據(jù)泄露事故，其中泄露了敏感員工信息，例如PII、工資、犯罪背景調(diào)查、績(jī)效評(píng)估和內(nèi)部通信。該工作室最近還以800萬(wàn)美元解決了前雇員提出的訴訟。

· 在線購(gòu)票供應(yīng)商Vendini在2013年數(shù)據(jù)泄露中，信用卡信息、電子郵件地址、電話號(hào)碼和未公開(kāi)數(shù)量客戶的PII遭遇泄露，該公司去年以300萬(wàn)美元完成庭外和解。

· 在2012年年底，連鎖超市Schnuck Markets遭遇泄露事故，其中240萬(wàn)客戶信用卡信息被泄露，該公司同意以210萬(wàn)美元達(dá)成和解。

還有懸而未決的訴訟包括Home Depot、Neiman Marcus、Excellus BlueCross BlueShield、Communicaty Health Systems公司以及美國(guó)人事管理局的泄露事故案。最近，擁有婚外情網(wǎng)站Ashley Madison的Avid Life Media公司在去年Ashley Madison臭名昭著的數(shù)據(jù)泄露事故后，面臨來(lái)自加拿大法律事務(wù)所57800萬(wàn)美元集體訴訟。這個(gè)案件帶來(lái)嚴(yán)重的影響，包括未經(jīng)證實(shí)的自殺報(bào)道、勒索以及離婚等。鑒于這個(gè)訴訟的規(guī)模，這可能讓Ashley Madison面臨破產(chǎn)。

數(shù)據(jù)的價(jià)格

由于數(shù)據(jù)泄露現(xiàn)在很普遍，信用卡客戶現(xiàn)在已經(jīng)習(xí)慣每年或每?jī)赡旮鼡Q信用卡。信用卡和借記卡號(hào)碼都有使用期限，因?yàn)楫?dāng)這些信息被泄露時(shí)，信用卡公司和客戶就不需要花時(shí)間來(lái)替換它們。

“這些信用卡的利用價(jià)值會(huì)隨著時(shí)間的推移而下降，而社會(huì)安全號(hào)碼、駕駛證號(hào)碼或醫(yī)療記錄的價(jià)值則可保持更長(zhǎng)的時(shí)間，”Chatfiled表示，“這些數(shù)據(jù)可讓攻擊者在以后利用，并且，這些數(shù)據(jù)的準(zhǔn)確性并不會(huì)隨著時(shí)間而受到影響。”

盡管在黑市個(gè)人身份信息的價(jià)格并沒(méi)有繼續(xù)上漲，但根據(jù)趨勢(shì)科技2015年的報(bào)告顯示，PII的平均價(jià)格已經(jīng)從2014年的4美元下降到每行1美元，每行都包含名字、詳細(xì)地址、出生日期、社會(huì)安全號(hào)碼和其他信息。

這很可能是由于近年來(lái)不斷增加的數(shù)據(jù)泄露事故，PII供過(guò)于求，更多的數(shù)據(jù)泄露事故意味著更多的可用數(shù)據(jù)，這不可避免地會(huì)壓低價(jià)格。

趨勢(shì)科技公司威脅通信經(jīng)理Christopher Budd指出，隨著對(duì)PII的需求降低，黑客會(huì)想要更便利、侵入型和有價(jià)值的數(shù)據(jù)。在過(guò)去幾年中，我們看到的“Target”類(lèi)型的數(shù)據(jù)泄露事故將會(huì)減少，網(wǎng)絡(luò)罪犯將會(huì)轉(zhuǎn)移到新形勢(shì)的數(shù)據(jù)，例如與IoT設(shè)備相關(guān)的信息，因?yàn)檫@些數(shù)據(jù)不太安全。

現(xiàn)在不只是企業(yè)面臨風(fēng)險(xiǎn)，消費(fèi)者設(shè)備IoT的市場(chǎng)正在逐漸發(fā)展壯大，消費(fèi)者同樣面臨風(fēng)險(xiǎn)。“IoT肯定是隱私數(shù)據(jù)泄露事故的下一個(gè)前線，”Chatfiled稱，“如果我們?cè)?018年談同樣的話題，這仍是熱門(mén)話題，我并不會(huì)感到很驚訝。”

IoT引入了數(shù)據(jù)流、新設(shè)備和流量，這些都與家庭個(gè)人設(shè)備互聯(lián)，例如燈、安全攝像頭、自動(dòng)調(diào)溫器、嬰兒監(jiān)視器、門(mén)鎖、空氣質(zhì)量監(jiān)控器、活動(dòng)水平等。不幸的是，由于人們太關(guān)注這些漂亮的新玩意，他們并沒(méi)有考慮安全性。IoT正在以指數(shù)速度增長(zhǎng)，而安全標(biāo)準(zhǔn)卻沒(méi)有同步發(fā)展。

“大家都在急于開(kāi)發(fā)新技術(shù)，”Nelson表示，“但有時(shí)，安全并沒(méi)有跟上這種技術(shù)發(fā)展速度。”

現(xiàn)在，包含某種個(gè)人信息的任何事物都有其價(jià)值。趨勢(shì)科技的報(bào)告列出了黑市的數(shù)據(jù)及其價(jià)格，例如美國(guó)手機(jī)賬號(hào)價(jià)格高達(dá)14美元，PayPal、eBay、Facebook、FedEx、Netflix和亞馬遜被盜的賬號(hào)可在黑市中購(gòu)買(mǎi)。PayPal和eBay中成熟的賬戶售價(jià)高達(dá)300美元，這意味著它有多年的交易歷史記錄，而且不太可能被標(biāo)記為可疑交易。銀行賬戶的登錄憑證更加昂貴，在200到500美元之間。信貸報(bào)告也可以25美元購(gòu)買(mǎi)，掃描文件(例如護(hù)照和駕駛執(zhí)照)價(jià)格在10到35美元之間。

Chatfiled承認(rèn)黑市對(duì)PII需求降低，并表示對(duì)知識(shí)產(chǎn)權(quán)信息的需求日益增加，“特別是在中國(guó)和俄羅斯，來(lái)自世界各地的知識(shí)產(chǎn)權(quán)正成為比信用卡號(hào)碼更重要的目標(biāo)。”

除了訴訟和解，數(shù)據(jù)泄露事故的成本很高昂。這還包括律師費(fèi)、員工加班費(fèi)、安裝新安全軟件、媒體控制、品牌價(jià)值損失、網(wǎng)絡(luò)安全保險(xiǎn)費(fèi)和收入損失。隨著每年數(shù)據(jù)泄露事故訴訟數(shù)量的增加，在某個(gè)時(shí)候，訴訟可能會(huì)進(jìn)入法庭審判，并可能危機(jī)企業(yè)的未來(lái)。即使對(duì)于在網(wǎng)絡(luò)安全投入巨資的公司，都很難滿足安全要求、合規(guī)措施以及不斷變化的威脅。并且，對(duì)于這些移動(dòng)的目標(biāo)，企業(yè)很難(如果不是不可能)確保他們不會(huì)面對(duì)數(shù)據(jù)泄露帶來(lái)的法律行動(dòng)。