Взлом американского бюро кредитных историй Equifax в 2017 году раскрыл данные 147 млн человек. О том, какой опыт из истории и расследования инцидента могут извлечь компании в 2023-м, пишет Fortune.

В 2017 году гигант потребительского кредитования Equifax пострадал от одной из крупнейших утечек данных в США. Хакеры получили доступ к персональным данным 147 млн граждан США, или примерно 40% населения страны.

Нарушение безопасности привело к рекордным штрафам Федеральной торговой комиссии (FTC), резкому снижению кредитного рейтинга Equifax и расходам компании на общую сумму порядка 3 млрд долларов. Компания реструктурировала как методы работы с данными, так и совет директоров. Реформа обошлась ей в 1,4 млрд долларов выплат.

В 2023 году Equifax по-прежнему входит в число лидеров финансового рынка. Цена её акций взлетела на 34% выше, чем она была непосредственно перед взломом. По итогам 2022 года компания получила доход в размере 5,12 млрд долларов. Это значит, история со взломом закрыта, полагают эксперты. Но компании могут извлечь ещё много уроков из неправильного действий Equifax в ситуации, когда требовалось восстановить доверие клиентов.

Equifax не была публично прозрачна с момента, когда стало известно об инциденте, отмечают аналитики:

• компания медленно реагировала на кризис. Она начала информировать клиентов об утечке спустя шесть недель после обнаружения нарушения;
• за это время несколько руководителей высшего звена продали акции компании на общую сумму 2 млн долларов. Equifax заявила, что три топ-менеджера, включая финансового директора, продали свои акции через несколько дней после обнаружения инцидента, но не были уведомлены о взломе. Ещё два менеджера низкого ранга продали акции примерно через месяц после взлома. Позже они были признаны виновными в торговле инсайдерской информацией;
• Equifax совершила ошибки при информировании пользователей: компания создала сайт equifaxsecurity2017.com, где клиенты могли проверить свои данные на предмет утечки. Однако протоколы безопасности сайта были слабыми, что подвергало клиентов ещё одной потенциальной угрозе безопасности;
• отдел по связям с общественностью Equifax направлял пользователей на другой ресурс — securityequifax2017.com. Владелец этого домена приобрел URL-адрес, чтобы подчеркнуть слабые стандарты безопасности Equifax. Фишинговый сайт получил 200 тыс. посещений, прежде чем владелец домена его удалил;
• при проверке данных на утечку кризисный сайт вынуждал клиентов принять соглашение, в котором пострадавшие отказывались от своего права на подачу иска. Формулировка была изменена после того, как на неё обратили внимание СМИ и регуляторы;
• Equifax не торопилась также принимать меры по устранению нарушений и усилению кибербезопасности, на что обратил внимание регулятор при рассмотрении дела.

Ошибки прошлого были учтены, пишет издание. Комиссия по ценным бумагам и биржам приняла требование об обязательном информировании регуляторов, акционеров и потребителей об утечках в течение четырёх дней с момента их обнаружения.

Правила также требуют от компаний принимать меры по снижению рисков, проводить оценку, выявление и управление рисками, связанными с угрозами кибербезопасности.

В текущем году всё больше компаний собирают большие объемы данных, чем шесть лет назад. Утечки почти неизбежны, поэтому наличие готового плана действий необходимо для поддержания доверия потребителей, отмечают эксперты, призывая не повторять старые ошибки.

Хотите поговорить об утечках информации? Приглашаем вас на конференцию «Защита данных: сохранить всё», которая пройдет 23 октября в Москве. Это первая в России конференция с фокусом на защите данных на всём их жизненном цикле: хранение, контроль доступа, обнаружение, инвентаризация, структурирование, передача.