Equifax все еще платит за свое нарушение данных: ущерб в 1,4 млрд. долларов продолжает расти

Equifax все еще платит за свое нарушение данных: ущерб в 1,4 млрд. долларов продолжает расти
В сентябре 2017 года бюро кредитных историй Equifax сообщил о том, что стал жертвой одного из самых крупных нарушений данных за все время. И хотя то нарушение не стало самым крупным в истории (эта сомнительная «награда» остается за Yahoo , которая в 2013 году потеряла данные порядка 3 миллиардов своих аккаунтов), нарушение данных в Equifax раскрыла сведения о 145 миллионах граждан США наряду с несколькими миллионами людей из других стран.
Компания обнаружила нарушение данных в июле 2017 года, предположив, что данный инцидент начался с мая 2017 года. Доклад Комитета по надзору Палаты представителей о нарушении пришел к выводу, что меры обеспечения безопасности в Equifax были недостаточными, а их системы не обновлены. В докладе также была раскрыта неудовлетворительная работа ИТ-служб, т.к. даже элементарные (базовые) меры безопасности, такие как обновление уязвимых систем, могли бы предотвратить данное нарушение.

Последствия для Equifax продолжаются
Несмотря на то, что это нарушение данных произошло два года назад, Equifax по-прежнему ощущает последствия своих сбоев в информационной безопасности. В конце мая этого года рейтинговое агентство Moody’s ухудшило прогноз рейтинга компании со стабильного на негативный.

Moody’s назвало плату в размере 690 миллионов долларов США, связанную с нарушением, в первом квартале 2019 года в качестве фактора, который способствовал снижению прогноза. Впрочем, это далеко не единственные расходы, которые понесла компания в результате данного инцидента. В первом квартале этого года у компании было 786,8 млн. долларов США в общих расходах, связанных с инцидентом, включая 690 млн. долларов плюс 82 млн. долларов в расходах на технологии и безопасность данных, 12,5 млн. долларов – судебные издержки и 1,5 млн. долларов – расходы по продукту. Суммарные расходы по данному инциденту уже составили 1,4 млрд. долларов США . Несомненно, что эта цифра будет продолжать расти.

Представитель Moody’s завил, что случай с Equifax был особо значимым, потому что «это впервые, когда кибер-инцидент был назван в качестве фактора, который повлиял на изменение прогноза».

Какие выводы мы должны извлечь?
Компания совершила множество ошибок в плане информационной безопасности, все из которых привели к таким астрономическим потерям. Первая из таких ошибок – это игнорирование важных патчей безопасности. По данным компании, ее сотрудник игнорировал патч, который необходимо было установить на используемую ими платформу веб-приложений Apache Struts. Более того, данный патч был доступен еще за два месяца до нарушения данных.
Нарушение происходило 3 месяца в период с мая по июль 2017 года. Учитывая это, становится понятным, что компания не знает полностью обо всем, что происходит в их сети, и не имеет надлежащего контроля над обрабатываемыми ими персональными данными. Действительно, это был один из выводов в докладе Комитета по надзору Палаты представителей: «Equifax не видел извлечения данных, потому что устройство, используемое для мониторинга сетевого трафика, было неактивным в течение 19 месяцев из-за истечения срока действия сертификата безопасности».

Как не стать следующим Equifax
Ни одна компания не хочет становиться известной в результате инцидента с нарушением данных. Организациям, которые становятся жертвами подобного рода кибер-преступлений, угрожают как финансовые, так и репутационные потери. И стоит помнить, что, например, в Европе, благодаря новому законодательству по защите персональных данных (GDPR ), весьма вероятно, что расходы, связанные с нарушением данных, будут продолжать расти.
Первое, что любая компания должна сделать, чтобы оставаться в безопасности от любых видов кибер-угроз, - это обеспечить полную видимость всего, что происходит в их ИТ-системе. Именно это предлагает решение информационной безопасности с опциями расширенной защиты Panda Adaptive Defense . Решение осуществляет мониторинг всех активных процессов в системе в реальном времени. Таким образом, становится возможным прогнозировать возможные инциденты до того момента, как они будут представлять риск безопасности. Решение также имеет в своем составе модуль , специально разработанный для контроля и защиты персональных данных (модуль Data Control пока недоступен для стран бывшего СССР).

Инцидент с Equifax стал возможным благодаря вовремя не установленному патчу. Зачастую компании испытывают трудности с поиском и применением соответствующих патчей в силу недостатка времени и ресурсов. Благодаря модулю Panda Patch Management для решения Panda Adaptive Defense, вы можете всегда быть уверены в том, что у вас установлены все необходимые патчи – следовательно, вы будете защищены от любой кибер-атаки, которая использует уязвимости.

Оригинал статьи: Equifax is still paying for its data breach: $1.4 billion and counting

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
https://www.cloudav.ru
B2B утечка данных Нарушение данных управление патчами уязвимость patch management
Alt text

Panda Security в России и СНГ

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.