Ο πάροχος υπολογιστών νέφους Blackbaud κατέληξε σε συμφωνία 49,5 εκατομμυρίων δολαρίων με γενικούς εισαγγελείς από 49 πολιτείες των ΗΠΑ για να διευθετήσει μια έρευνα πολλών πολιτειών για μια επίθεση ransomware τον Μάιο του 2020 και την επακόλουθη παραβίαση δεδομένων.
Η Blackbaud είναι κορυφαίος πάροχος λύσεων λογισμικού που απευθύνονται σε μη κερδοσκοπικούς οργανισμούς, όπως φιλανθρωπικά ιδρύματα, σχολεία και φορείς υγειονομικής περίθαλψης, και ειδικεύεται στη δέσμευση χορηγών και στη διαχείριση δεδομένων εκλογικών περιφερειών.
Αυτά τα δεδομένα περιλαμβάνουν ένα ευρύ φάσμα ευαίσθητων πληροφοριών, όπως δημογραφικά στοιχεία, αριθμούς κοινωνικής ασφάλισης, αριθμούς άδειας οδήγησης, οικονομικά αρχεία, δεδομένα απασχόλησης, πληροφορίες περιουσίας, ιστορικά δωρεών και προστατευμένες πληροφορίες υγείας.
Στην παραβίαση που αποκάλυψε η Blackbaud τον Ιούλιο του 2020, τα εξαιρε
τι
κά ευαίσθητα δεδομένα που ανήκαν σε περισσότερους από 13.000 επιχειρηματικούς πελάτες Blackbaud και τους πελάτες τους από τις ΗΠΑ, τον Καναδά, το Ηνωμένο Βασίλειο και την Ολλανδία παραβιάστηκαν, επηρεάζοντας εκατομμύρια άτομα.
Οι εισβολείς έκλεψαν μη κρυπτογραφημένες τραπεζικές πληροφορίες, διαπιστευτήρια σύνδεσης και αριθμούς κοινωνικής ασφάλισης πελατών. Ο Blackbaud συμμορφώθηκε με το αίτημα των επιτιθέμενων για λύτρα, αφού του είπαν ότι όλα τα κλεμμένα δεδομένα καταστράφηκαν.
Αυτή την εβδομάδα
Διακανονισμός 49,5 εκατομμυρίων δολαρίων
αντιμετωπίζει ισχυρισμούς για το Blackbaud που παραβιάζει τους κρατικούς νόμους για την προστασία των καταναλωτών, τους κανονισμούς ειδοποίησης παραβίασης και τον νόμο περί φορητότητας και λογοδοσίας ασφάλισης υγείας (HIPAA).
“Η απροσεξία δεν μπορεί να δικαιολογήσει τον παραβιασμό των δεδομένων των καταναλωτών. Οι εταιρείες πρέπει να δεσμευτούν στην προστασία των προσωπικών πληροφοριών, ανταποκρινόμενοι στις δίκαιες προσδοκίες των καταναλωτών για το απόρρητο και την προστασία των δεδομένων.”
είπε
Ο Γενικός Εισαγγελέας του Οχάιο, Ντέιβ Γιοστ.
Ως μέρος του διακανονισμού, το Blackbaud πρέπει επίσης:
- Εφαρμόστε και διατηρήστε ένα σχέδιο αντιμετώπισης παραβάσεων
- Παρέχει την κατάλληλη βοήθεια στους πελάτες της σε περίπτωση παραβίασης
-
Αναφέρετε περιστατικά ασφαλείας στον Διευθύνοντα Σύμβουλο και το διοικητικό συμβούλιο και παρέχετε βελτιωμένη
εκπαίδευση
των εργαζομένων - Εφαρμόστε διασφαλίσεις και ελέγχους προσωπικών πληροφοριών που απαιτούν πλήρη κρυπτογράφηση βάσης δεδομένων και παρακολούθηση σκοτεινού ιστού
- Βελτιώστε την άμυνα μέσω τμηματοποίησης δικτύου, διαχείρισης ενημερώσεων κώδικα, ανίχνευσης εισβολής, τείχη προστασίας, ελέγχων πρόσβασης, καταγραφής και παρακολούθησης και δοκιμών διείσδυσης
- Επιτρέπει αξιολογήσεις τρίτων για τη συμμόρφωσή του με τον διακανονισμό για επτά χρόνια
Αποτέλεσμα επίθεσης ransomware
Στην τριμηνιαία έκθεσή της για το τρίτο τρίμηνο του 2020, η εταιρεία αποκάλυψε πριν από τρία χρόνια ότι τουλάχιστον 43 Γενικοί Εισαγγελείς και η Περιφέρεια της Κολούμπια ερευνούσαν το περιστατικό.
Μέχρι τον Νοέμβριο του 2020, η Blackbaud είχε ήδη μηνυθεί σε 23 προτεινόμενες υποθέσεις ομαδικής αγωγής καταναλωτών σχετικά με την παραβίαση ασφαλείας του Μαΐου 2020 στις ΗΠΑ και τον Καναδά.
Τον Μάρτιο, η εταιρεία συμφώνησε επίσης να πληρώσει 3 εκατομμύρια δολάρια για να διευθετήσει τις χρεώσεις που επιβλήθηκαν από την
Επιτροπή Κεφαλαιαγοράς
(SEC), με τον ισχυρισμό ότι απέτυχε να αποκαλύψει τον πλήρη αντίκτυπο της επίθεσης ransomware του 2020.
Σύμφωνα με την SEC, το προσωπικό τεχνολογίας και σχέσεων πελατών της Blackbaud ανακάλυψε ότι οι επιτιθέμενοι έκλεψαν πληροφορίες τραπεζικού λογαριασμού δωρητών και αριθμούς κοινωνικής ασφάλισης. Ωστόσο, δεν κλιμάκωσαν το θέμα στη διοίκηση λόγω της έλλειψης κατάλληλων ελέγχων και διαδικασιών γνωστοποίησης από την εταιρεία.
Στη συνέχεια, η Blackbaud υπέβαλε μια έκθεση SEC που παραλείπει κρίσιμες λεπτομέρειες σχετικά με το πλήρες εύρος της παραβίασης.
Επιπλέον
, η έκθεση υποβάθμισε τον πιθανό κίνδυνο που σχετίζεται με ευαίσθητες πληροφορίες δωρητών στις οποίες έχουν πρόσβαση οι επιτιθέμενοι, περιγράφοντάς το ως υποθετικό.
