最近很多企業數據泄露事故最終導致集體訴訟，并且，這些數據泄露訴訟還揭示了令人不安的趨勢：現在安全問題的成本正在不斷增加。

目前并沒有重大數據泄露事故進入法庭受審，雖然有些仍然懸而未決，但很多其他數據泄露事故都是選擇庭外和解，這給企業帶來高昂的損失，所涉企業需要支付數百萬美元給原告——無論是客戶、員工、銀行還是信用卡公司。

與所有法律和解一樣，數據泄露事故和解并沒有判定誰是罪魁禍首或者透露有關事件本身的實質性的細節信息。但和解費用暗示這些集體訴訟可能在不久的將來造成巨大的數據泄露成本，這涉及到泄露了什么數據、誰收到了影響以及哪些類型的信息被泄露。

無論攻擊者嘗試從防御很差的POS系統挖掘信用卡數據還是從有漏洞技術(例如物聯網IOT)中搜尋個人身份信息(PII)，數據泄露事故仍在繼續發生，這些訴訟也沒有顯示放緩的跡象。同時，企業正在以蝸牛的速度提高安全性，防御和處理安全事故的財務費用似乎越來越高，因為數據泄露事故和解費用已經達到驚人的水平。

本文中，讓我們來看看這些數據泄露事故訴訟與和解，了解為什么企業在很大程度上發現自己處在這些法律糾紛的劣勢以及這對未來企業安全意味著什么。

數據泄露事故訴訟的根源

沒有哪家公司可100%抵御網絡犯罪分子、黑客和民族國家攻擊者，即使部署適當的安全措施，企業仍然需要謹慎行事。專家表示企業必須付出很大努力來保護他們的基礎設施，以及保護客戶及員工數據，否則將面臨嚴重后果。

安全風險評估公司NetDiligence總裁Dave Chatfiled表示，當涉及到信息安全時，根本沒有什么保證。

“安全顧問會讓企業客戶采取各種安全做法，并讓他們相信數據泄露的可能性會隨著時間的推移而減少，”Chatfiled表示，“但我不相信會有任何安全供應商對你說，‘我們將保證你永遠不會遭到泄露。’”

然而，需要注意的是，遭遇數據泄露的Target等公司自身也有過錯，因為他們的信息安全部署并不足夠。安全記者Brian Krebs獲取了一份內部報告揭露Target公司IT系統中發現的問題，執行這個調查的Verizon安全顧問能夠破解86% Target的密碼，這讓他們可訪問內部網絡。很多系統都已經過時或者沒有修復安全漏洞，并且，通過利用明顯的漏洞，這些安全專家可完全訪問包含所有敏感數據的網絡。

在過去幾年內發生的很多重大數據泄露事故都面臨集體訴訟，然后庭外和解，從來沒有在法庭進行審判。Chatfiled表示，這可能是因為遭遇數據泄露的公司沒什么可辯論，例如Target的案件，而庭外和解可讓企業快速向前發展，并可能躲過媒體的追逐。

“多年來，我們一直在等待這種集體訴訟可進入法庭審判過程，但有很多原因讓所有各方都避免這種結果，可能因為這是最不可預知的結果，”Chatfiled說道，“更有效的方法是在私下處理這些問題，而不是推上法庭。”

數據泄露事故訴訟：新的先例?

信息管理律師Matthew Nelson表示，集體訴訟數據泄露有很高的庭外和解率，這是因為原告都必須展示“他們很可能因數據泄露而受到傷害”。但一張支付卡被盜并不足以支撐一個官司，因為客戶聲稱自己受到的傷害不能太投機。

今年我們看到一個先例：Neiman Marcus數據泄露事故案件。在這個案件中，原告認為其財務數據被盜足以證明他們可能是受到2013年數據泄露事故的影響。最初，美國地方法院法官否決了這個訴訟，其理由是未經授權信用卡收費將會賠償給受影響的客戶，原告并沒有表現出受到明顯傷害或存在受傷害的風險。

但是，在今年夏天，美國第七巡回法院法官小組推翻了這一判決，并允許Neiman Marcus數據泄露事故訴訟案繼續向前推進。該小組的判決表明，這里存在“客觀合理的可能性”，個人數據和財務數據被盜可能造成傷害，對欺詐性信用卡扣費的報銷并不能保護原告免受其他潛在傷害，例如身份盜竊。Nelson表示，第七巡回法庭的判決對數據泄露事故訴訟可能產生重大影響。

“該法院讓這個集體訴訟案繼續向前推進，因為客戶不應該等到身份盜竊或信用卡盜竊發生后才讓原告受到懲罰，”Nelson表示，“這些事情可能會發生，這是非常客觀合理的推測。”

在巡回法庭創下的先例可能意味著未來更多的數據泄露事故訴訟進入法庭審判—無論是客戶還是員工的數據被泄露，這可能給企業帶來更高的數據泄露成本。

數據泄露事故成本比較

如果說，未來將有更多數據泄露訴訟還不足以說明問題，企業數據泄露事故本身正變得越來越普遍。當企業疏于保護客戶的個人數據，這會讓網絡罪犯有機可趁。但專家表示，對大型企業的有針對性攻擊更難以檢測和防御。

“攻擊者使用的技術越來越復雜，這種威脅在不斷發展，”Nelson稱，“例如，在我們的《互聯網安全威脅報告》中，零日漏洞正處于歷史高位。只要攻擊者成功入侵網絡，他們就可在較長時間內不被發現，這意味著他們可做更多的破壞。”

此外，數據泄露訴訟成本可能非常高昂，因為泄露的數據越敏感，和解的費用就越高。在一些情況中，和解費用具體數目都沒有公開。例如，在2013年Adobe數據泄露事故中，3800萬客戶用戶名、電子郵件地址、加密的密碼和加密的信用卡號碼被盜，最后在今年夏天以未知金額在庭外和解。Adobe支付120萬美元法律費用作為和解的一部分，但實際支付給客戶的數額不詳。

其他和解則是公開的，通過觀察最近和解的數據泄露訴訟(不同公司規模和行業)，泄露的信息類型以及和解數量之間似乎存在相關性。例如，在2012年的LinkedIn數據泄露事故中，650萬用戶加密密碼被盜—隨后被黑客破解，這導致該社交網絡公司支付125萬美元和解費用，這些錢完全分配給80萬LinkedIn高級訂閱用戶。

與此同時，在46萬個人信息被盜后，健康保險提供商AvMed公司花費300萬美元解決了這個數據泄露集體訴訟案。盡管受影響客戶只有LinkedIn的一半，但AvMed支付的和解費用是其兩倍，為什么呢?AvMed被盜的數據包括敏感的PII，例如客戶的姓名、地址、社會安全號碼和醫療信息。

Nelson表示，“被盜數據的價值和和解費用之間存在必然的關聯。”

有些數據泄露事故集體訴訟是由客戶提出，而還有些則是由銀行、信用卡公司和聯邦政府提出，下面讓我們看看最近的數據泄露和解：

· LinkedIn公司數據泄露事故影響600萬用戶，其用戶名和密碼都被泄露。125萬美元的和解資金只適用于80萬擁有高檔訂閱的用戶。

· 在AvMed數據泄露事故中，超過100萬的社會安全號碼和醫療記錄被泄露，該公司花費310萬美元來和解。

· 2013年的Target數據泄露事故影響超過1億用戶，其信用卡號碼、姓名、地址、電子郵件地址和電話號碼被盜。該零售巨頭為客戶集體訴訟和解支付1000萬美元。

· 在與信用卡公司MasterCard和Visa的兩起相關訴訟中，Target公司分別以3900萬美元和6700萬美元完成和解。該和解協議涵蓋對受影響信用卡和借記卡銀行和其他金融服務公司的欺詐性收費成本。

· 在這個月，Wyndham酒店及度假村同意為三起數據泄露事故與美國聯邦貿易委員會達成和解，據報道，這些泄露事故泄露了客戶的信用卡號碼。除了支付和解費用，該酒店同意在未來20年都進行年度IT安全審計，包括對PCI DSS合規的審計。

· 在2011年數據泄露事故中2萬病人的醫療記錄被泄露后，斯坦福大學醫院及診所以410萬美元達成庭外和解。

· 2011年索尼PlayStation網絡數據泄露事故影響7700萬用戶，并且泄露了客戶姓名和地址、登錄憑證及加密的信用卡號碼。索尼以1500萬美元和解，但該公司否認有任何不當行為。

· 在2014年年底，索尼影視娛樂公司遭受重大數據泄露事故，其中泄露了敏感員工信息，例如PII、工資、犯罪背景調查、績效評估和內部通信。該工作室最近還以800萬美元解決了前雇員提出的訴訟。

· 在線購票供應商Vendini在2013年數據泄露中，信用卡信息、電子郵件地址、電話號碼和未公開數量客戶的PII遭遇泄露，該公司去年以300萬美元完成庭外和解。

· 在2012年年底，連鎖超市Schnuck Markets遭遇泄露事故，其中240萬客戶信用卡信息被泄露，該公司同意以210萬美元達成和解。

還有懸而未決的訴訟包括Home Depot、Neiman Marcus、Excellus BlueCross BlueShield、Communicaty Health Systems公司以及美國人事管理局的泄露事故案。最近，擁有婚外情網站Ashley Madison的Avid Life Media公司在去年Ashley Madison臭名昭著的數據泄露事故后，面臨來自加拿大法律事務所57800萬美元集體訴訟。這個案件帶來嚴重的影響，包括未經證實的自殺報道、勒索以及離婚等。鑒于這個訴訟的規模，這可能讓Ashley Madison面臨破產。

數據的價格

由于數據泄露現在很普遍，信用卡客戶現在已經習慣每年或每兩年更換信用卡。信用卡和借記卡號碼都有使用期限，因為當這些信息被泄露時，信用卡公司和客戶就不需要花時間來替換它們。

“這些信用卡的利用價值會隨著時間的推移而下降，而社會安全號碼、駕駛證號碼或醫療記錄的價值則可保持更長的時間，”Chatfiled表示，“這些數據可讓攻擊者在以后利用，并且，這些數據的準確性并不會隨著時間而受到影響。”

盡管在黑市個人身份信息的價格并沒有繼續上漲，但根據趨勢科技2015年的報告顯示，PII的平均價格已經從2014年的4美元下降到每行1美元，每行都包含名字、詳細地址、出生日期、社會安全號碼和其他信息。

這很可能是由于近年來不斷增加的數據泄露事故，PII供過于求，更多的數據泄露事故意味著更多的可用數據，這不可避免地會壓低價格。

趨勢科技公司威脅通信經理Christopher Budd指出，隨著對PII的需求降低，黑客會想要更便利、侵入型和有價值的數據。在過去幾年中，我們看到的“Target”類型的數據泄露事故將會減少，網絡罪犯將會轉移到新形勢的數據，例如與IoT設備相關的信息，因為這些數據不太安全。

現在不只是企業面臨風險，消費者設備IoT的市場正在逐漸發展壯大，消費者同樣面臨風險。“IoT肯定是隱私數據泄露事故的下一個前線，”Chatfiled稱，“如果我們在2018年談同樣的話題，這仍是熱門話題，我并不會感到很驚訝。”

IoT引入了數據流、新設備和流量，這些都與家庭個人設備互聯，例如燈、安全攝像頭、自動調溫器、嬰兒監視器、門鎖、空氣質量監控器、活動水平等。不幸的是，由于人們太關注這些漂亮的新玩意，他們并沒有考慮安全性。IoT正在以指數速度增長，而安全標準卻沒有同步發展。

“大家都在急于開發新技術，”Nelson表示，“但有時，安全并沒有跟上這種技術發展速度。”

現在，包含某種個人信息的任何事物都有其價值。趨勢科技的報告列出了黑市的數據及其價格，例如美國手機賬號價格高達14美元，PayPal、eBay、Facebook、FedEx、Netflix和亞馬遜被盜的賬號可在黑市中購買。PayPal和eBay中成熟的賬戶售價高達300美元，這意味著它有多年的交易歷史記錄，而且不太可能被標記為可疑交易。銀行賬戶的登錄憑證更加昂貴，在200到500美元之間。信貸報告也可以25美元購買，掃描文件(例如護照和駕駛執照)價格在10到35美元之間。

Chatfiled承認黑市對PII需求降低，并表示對知識產權信息的需求日益增加，“特別是在中國和俄羅斯，來自世界各地的知識產權正成為比信用卡號碼更重要的目標。”

除了訴訟和解，數據泄露事故的成本很高昂。這還包括律師費、員工加班費、安裝新安全軟件、媒體控制、品牌價值損失、網絡安全保險費和收入損失。隨著每年數據泄露事故訴訟數量的增加，在某個時候，訴訟可能會進入法庭審判，并可能危機企業的未來。即使對于在網絡安全投入巨資的公司，都很難滿足安全要求、合規措施以及不斷變化的威脅。并且，對于這些移動的目標，企業很難(如果不是不可能)確保他們不會面對數據泄露帶來的法律行動。

【編輯推薦】