Облачный провайдер Blackbaud заплатит $49,5 млн. за свою халатность в безопасности

Завершилось многомесячное расследование случившегося в мае 2020 года киберинцидента с компанией Blackbaud, одним из ведущих провайдеров облачных вычислений. Соглашение о выплате было достигнуто между компанией и генеральными прокурорами 49 штатов США на сумму в $49,5 млн.

Компания Blackbaud специализируется на предоставлении программных решений облачных вычислений для некоммерческих организаций: школ, больниц, благотворительных организаций, и в частности, на управлении базами данных доноров.

Утечка данных, произошедшая в июле 2020 года , касалась крайне чувствительных данных, принадлежащих более чем 13 000 бизнес-клиентам Blackbaud и их заказчикам из США, Канады, Великобритании и Нидерландов. В ходе атаки злоумышленники похитили незашифрованную банковскую информацию, данные для входа и номера социального страхования. После утверждения злоумышленников о том, что все украденные данные были уничтожены, Blackbaud выплатила выкуп.

Соглашение в размере $49,5 млн было направлено на урегулирование обвинений в нарушении компанией законов о защите потребителей, уведомлении о нарушениях и Акт о мобильности и подотчётности медицинского страхования (Health Insurance Portability and Accountability ActHIPAA).

В рамках урегулирования, Blackbaud обязуется :

• Разработать и поддерживать план реагирования на инциденты безопасности;
• Обеспечить соответствующую помощь своим клиентам в случае нарушения безопасности;
• Сообщать о инцидентах безопасности своему исполнительному директору и совету директоров, а также улучшить обучение своих сотрудников;
• Внедрить гарантии безопасности личной информации, включая полное шифрование базы данных и мониторинг темной сети;
• Усилить защиту через сегментацию сети, управление патчами, системы обнаружения вторжений, файрволы, контроль доступа, ведение журналов и мониторинг, а также проведение тестирования на проникновение;
• Позволить сторонним организациям оценивать соответствие компании условиям соглашения в течение 7 лет.

В отчете за третий квартал 2020 года Blackbaud раскрыла, что минимум 43 генеральных прокурора штатов и округа Колумбия расследовали инцидент. К ноябрю 2020 года было подано 23 иска с предложением организовать коллективные иски потребителей в связи с инцидентом безопасности в США и Канаде.

Компания также согласилась выплатить $3 млн. за урегулирование обвинений , предъявленных Комиссией по ценным бумагам и биржам (SEC), в том, что фирма не раскрыла полный объем последствий кибератаки 2020 года. Как результат, в отчете SEC были опущены важные детали о полном объеме нарушения, а также были преуменьшены потенциальные риски, связанные с доступом злоумышленников к чувствительной информации доноров, что было описано как гипотетический риск.