Недопустимая халатность: Trygg-Hansa оштрафована на $3 млн за критическую утечку данных

Шведское Управление по защите конфиденциальности (IMY) оштрафовало страховую компанию Trygg-Hansa на сумму 3 миллиона долларов (290 миллионов рублей) за утечку чувствительных персональных данных сотен тысяч клиентов через онлайн-портал компании.

Trygg-Hansa предоставляет страховые услуги для физических лиц, частных компаний и государственных организаций, а также занимается управлением активами и инвестиционным консалтингом.

Расследование IMY было инициировано после жалобы одного из клиентов Trygg-Hansa, который обнаружил, что через URL-адреса в почтовых или смс-рассылках с предложениями страховки внезапно можно получить доступ ко всей внутренней базе данных компании.

Управление подтвердило, что доступ к базе данных был открыт без аутентификации и можно было просматривать конфиденциальные документы других лиц, всего-навсего меняя идентификатор клиента в ссылке.

В общей сложности потенциальной утечке подверглись данные около 650 тысяч клиентов, в том числе их:

• персональные данные;
• информация о состоянии здоровья;
• детали страховых случаев;
• финансовая информация;
• контактные данные;
• номер социального страхования;
• данные о страховках.

Что ещё хуже, по информации IMY, неавторизованный доступ к этим сведениям был открыт на протяжении более двух лет, так что любой желающий, столь же внимательный, как и клиент компании обратившийся в IMY, мог получить свободный доступ ко всем этим данным.

IMY подтвердила как минимум 202 случая неавторизованного доступа к персональным данным клиентов, но реальное число может быть значительно больше.

По словам регулятора, страховщик должен был обнаружить и устранить уязвимость ещё на этапе внедрения данной системы, а также в течение всего длительного периода её эксплуатации. Неспособность это сделать указывает на серьёзные недостатки в обеспечении безопасности данных, за что IMY и был наложен штраф в размере трёх миллионов долларов.