10.10.2023
В ходе трёхлетнего расследования утечки данных Blackbaud был вынесен окончательный вердикт – облачный провайдер заплатит $49,5 млн. за свою халатность в безопасности. Завершилось длительное расследование случившегося в мае 2020 года киберинцидента с компанией Blackbaud, одним из ведущих провайдеров облачных вычислений. Соглашение о выплате было достигнуто между компанией и генеральными прокурорами 49 штатов США. Blackbaud – компания, занимающаяся облачным программным обеспечением, которая предлагает полный спектр облачных и локальных программных решений, а также сопутствующих услуг для организаций любого размера, особенно организаций, занимающихся социальным обеспечением. Компания продолжает вкладывать значительные средства в облачные приложения и программное обеспечение, что, как ожидается, будет способствовать долгосрочному росту. Компания специализируется на предоставлении программных решений облачных вычислений для некоммерческих организаций: школ, больниц, благотворительных организаций, и в частности, на управлении базами данных доноров. «В Blackbaud защита конфиденциальности клиентов и их участников всегда была и будет одним из наших важнейших приоритетов», – сказал Майк Джанони, президент и генеральный директор Blackbaud. Утечка данных, произошедшая в июле 2020 года, касалась крайне чувствительных данных, принадлежащих более чем 13 000 бизнес-клиентам Blackbaud и их заказчикам из США, Канады, Великобритании и Нидерландов. В ходе атаки злоумышленники похитили незашифрованную банковскую информацию, данные для входа и номера социального страхования. После утверждения злоумышленников о том, что все украденные данные были уничтожены, Blackbaud выплатила выкуп. Соглашение в размере $49,5 млн было направлено на урегулирование обвинений в нарушении компанией законов о защите потребителей, уведомлении о нарушениях и Акт о мобильности и подотчётности медицинского страхования (Health Insurance Portability and Accountability ActHIPAA). В рамках урегулирования, Blackbaud обязуется:
-
разработать и поддерживать план реагирования на инциденты безопасности;
-
обеспечить соответствующую помощь своим клиентам в случае нарушения безопасности;
- сообщать о инцидентах безопасности своему исполнительному директору и совету директоров, а также улучшить обучение своих сотрудников;
-
внедрить гарантии безопасности личной информации, включая полное шифрование базы данных и мониторинг темной сети;
-
усилить защиту через сегментацию сети, управление патчами, системы обнаружения вторжений, файрволы, контроль доступа, ведение журналов и мониторинг, а также проведение тестирования на проникновение;
-
позволить сторонним организациям оценивать соответствие компании условиям соглашения в течение 7 лет.
В отчете за третий квартал 2020 года Blackbaud раскрыла, что минимум 43 генеральных прокурора штатов и округа Колумбия расследовали инцидент. К ноябрю 2020 года было подано 23 иска с предложением организовать коллективные иски потребителей в связи с инцидентом безопасности в США и Канаде. Компания также согласилась выплатить $3 млн. за урегулирование обвинений, предъявленных Комиссией по ценным бумагам и биржам (SEC), в том, что фирма не раскрыла полный объем последствий кибератаки 2020 года. Как результат, в отчете SEC были опущены важные детали о полном объеме нарушения, а также были преуменьшены потенциальные риски, связанные с доступом злоумышленников к чувствительной информации доноров, что было описано как гипотетический риск. Ведущую роль в этом расследовании сыграла Флорида, которую представляли руководитель Отдела защиты прав потребителей и конфиденциальности Управления генерального прокурора Флориды Патрис Маллой и старший помощник генерального прокурора Генри Джонсон.