Генеральный прокурор Джеймс и многоштатная коалиция добились от облачной компании выплаты 49,5 млн. долл. за утечку данных

НЬЮ-ЙОРК - Генеральный прокурор Нью-Йорка Летиция Джеймс и коалиция из 50 генеральных прокуроров разных штатов достигли соглашения с компанией Blackbaud о выплате 49,5 млн долл. в связи с масштабной утечкой данных, которая затронула тысячи некоммерческих организаций, включая благотворительные фонды, колледжи и университеты, а также медицинские учреждения в Нью-Йорке и по всей стране. Компания Blackbaud предоставляет программное обеспечение для управления данными о донорах, и в 2020 году произошла утечка данных, в результате которой стала известна личная информация ее клиентов и миллионов их доноров и избирателей. В результате сегодняшнего соглашения компания Blackbaud согласилась пересмотреть свои методы обеспечения безопасности данных и оповещения об утечке и выплатить пострадавшим штатам 49,5 млн. долларов, из которых Нью-Йорк получит 2,9 млн. долларов.

"Жители Нью-Йорка, да и все американцы, заслуживают того, чтобы знать, что их личная информация надежно защищена", - заявил генеральный прокурор Джеймс. "Компания Blackbaud должна была защищать частную информацию о донорах и клиентах некоммерческих организаций, но вместо этого ее плохие меры безопасности данных подвергли риску всех. Нет никакого оправдания тому, что компания, предоставляющая облачные услуги, не принимает должных мер по обеспечению безопасности данных. Поскольку утечки данных становятся все более распространенными, мой офис будет продолжать следить за тем, чтобы компании обеспечивали защиту своих сетей от подобных атак".

Blackbaud предоставляет программное обеспечение различным некоммерческим организациям, включая благотворительные фонды, высшие учебные заведения, школы K-12, медицинские, религиозные и культурные организации. Клиенты Blackbaud используют ее программное обеспечение для связи с донорами и управления данными о своих избирателях, включая контактную и демографическую информацию, номера социального страхования, водительские удостоверения, финансовую информацию, информацию о занятости и имуществе, историю пожертвований, а также защищенную медицинскую информацию. Подобная конфиденциальная информация была раскрыта во время утечки данных в 2020 году, которая затронула более 13 000 учреждений, являющихся клиентами Blackbaud, и миллионы их клиентов. Компания Blackbaud заплатила выкуп за похищенные данные и получила доказательства того, что они были удалены.

Тысячи учреждений Нью-Йорка пострадали от утечки данных компании Blackbaud. Полный список можно найти здесь.

Сегодняшнее соглашение разрешает претензии генерального прокурора Джеймса и коалиции из 50 генеральных прокуроров к компании Blackbaud о нарушении законов штатов о защите прав потребителей, законов об уведомлении о нарушениях и HIPAA. В ходе расследования, проведенного в нескольких штатах, было установлено, что компания Blackbaud не обеспечила разумную защиту данных и не устранила известные пробелы в системе безопасности, что позволило неавторизованным лицам получить доступ к сети Blackbaud. После утечки данных компания Blackbaud не предоставила своим клиентам своевременную, полную и точную информацию об утечке, как того требует закон. В результате уведомление потребителей, чьи персональные данные оказались раскрыты, было сделано со значительной задержкой или вообще не было сделано, поскольку компания Blackbaud преуменьшила значение инцидента и заставила своих клиентов поверить в то, что уведомление не требуется.

В соответствии с условиями мирового соглашения компания Blackbaud согласилась в будущем усовершенствовать свои методы обеспечения безопасности данных и уведомления о нарушениях, в том числе:

• Прекращение введения в заблуждение относительно обработки, хранения и защиты персональной информации; вероятность того, что персональная информация, пострадавшая в результате инцидента безопасности, может стать объектом дальнейшего раскрытия или неправомерного использования; а также требования к уведомлению о нарушениях в соответствии с законодательством штата и HIPAA.
• Внедрение и поддержка планов реагирования на инциденты и нарушения безопасности для подготовки и более адекватного реагирования на будущие инциденты и нарушения безопасности.
• Обновление положений об уведомлении о нарушениях, требующих от Blackbaud предоставления соответствующей помощи своим клиентам и поддержки выполнения клиентами применимых требований по уведомлению в случае нарушения.
• Улучшение отчетности об инцидентах безопасности перед генеральным директором и советом директоров, обучение сотрудников, предоставление соответствующих ресурсов и поддержки для обеспечения кибербезопасности.
• Применение средств защиты и контроля персональной информации, требующих полного шифрования баз данных и мониторинга "темной паутины".
• Использование конкретных требований безопасности в отношении сегментации сети, управления исправлениями, обнаружения вторжений, межсетевых экранов, контроля доступа, протоколирования и мониторинга, а также тестирования на проникновение.
• Проведение сторонних оценок соблюдения компанией Blackbaud условий соглашения в течение семи лет.

К генеральному прокурору Джеймсу присоединились генеральные прокуроры Алабамы, Аляски, Аризоны, Арканзаса, Колорадо, Коннектикута, Делавэра, округа Колумбия, Флориды, Джорджии, Гавайев, Айдахо, Иллинойса, Индианы, Айовы, Канзаса, Кентукки, Луизианы, Мэна, Мэриленда, Массачусетса, Мичигана, Миннесота, Миссисипи, Миссури, Монтана, Небраска, Невада, Нью-Гэмпшир, Нью-Джерси, Нью-Мексико, Северная Каролина, Северная Дакота, Огайо, Оклахома, Орегон, Пенсильвания, Род-Айленд, Южная Каролина, Южная Дакота, Теннесси, Техас, Юта, Вермонт, Виргиния, Вашингтон, Западная Виргиния, Висконсин и Вайоминг.

Сегодняшнее соглашение продолжает усилия генерального прокурора Джеймса по защите личной информации жителей Нью-Йорка и привлечению компаний к ответственности за некачественную защиту данных. В сентябре генеральный прокурор Джеймс заключил соглашение с колледжем Marymount Manhattan College о выделении 3,5 млн. долл. на защиту данных студентов в Интернете. В мае этого года генеральный прокурор Джеймс добился от компании Sports Warehouse выплаты 300 тыс. долл. за то, что она не смогла защитить данные 2,5 млн. клиентов. Также в мае генеральный прокурор Джеймс взыскал 550 000 долл. с компании по управлению медицинскими услугами за неспособность защитить данные пациентов. В апреле генеральный прокурор Джеймс выпустил всеобъемлющее руководство по защите данных, призванное помочь компаниям укрепить свои методы защиты информации. В декабре 2022 г. генеральный прокурор Джеймс взыскал 200 000 долл. с производителя студенческих шапок и платьев Herff Jones за неспособность защитить персональные данные потребителей. В октябре 2022 г. генеральный прокурор Джеймс объявил о заключении соглашения на сумму 1,9 млн. долл. с владельцем компаний SHEIN и Zoetop за неспособность должным образом справиться с утечкой данных, в результате которой были скомпрометированы персональные данные миллионов потребителей. В июне 2022 г. генеральный прокурор Джеймс взыскал с компании Wegmans 400 тыс. долл. и обязал ее повысить безопасность хранения данных после того, как в результате утечки информации была раскрыта личная информация потребителей. В марте 2022 г. генеральный прокурор Джеймс выпустил предупреждение для потребителей, в котором рекомендовал клиентам T-Mobile принять соответствующие меры для защиты своей личной информации после утечки данных.

Этим вопросом занимался заместитель начальника Бюро Кларк Рассел (Clark Russell) при особой помощи аналитика по Интернету и технологиям Нишаанта Госвами (Nishaant Goswamy) из Бюро Интернета и технологий под руководством начальника Бюро Кима Бергера (Kim Berger). Бюро Интернета и технологий входит в состав Отдела экономического правосудия, который возглавляет главный заместитель генерального прокурора Крис Д'Анджело и курирует первый заместитель генерального прокурора Дженнифер Леви.