Великобритания наконец-таки вынесла окончательный вердикт по давнему делу, касающегося компании Equifax, допустившей чудовищную утечку информации в 2017 году. Кредитное бюро тогда непреднамеренно раскрыло данные кредитной истории и прочую конфиденциальную информацию 143 миллионов клиентов.
Financial Conduct Authority (FCA), финансовый регулятор Великобритании, объявил сегодня о штрафе Equifax Ltd. на сумму более £11 млн (13.4 млн долларов или 1,3 млрд рублей).
По данным FCA, Equifax Ltd. не предприняла необходимых мер для защиты личных данных 13,8 млн британских потребителей, которые хранились у её американской родительской компании.
В 2017 году Equifax сообщила о нарушении безопасности, в результате которого было утрачено 143 млн уникальных записей. Инцидент был обнаружен в июле 2017 года, но информация стала общедоступной лишь через шесть недель.
В ходе инцидента хакеры использовали уязвимость в программе Apache Struts для доступа к конфиденциальной информации. Судя по ходившим в то время слухам, хакеры могли иметь доступ к сетям Equifax чуть ли не с ноября 2016 года, однако бюро опровергло эту информацию .
Данные британских граждан, как сообщается, подверглись утечке из-за того, что Equifax Ltd. передала обработку данных своей родительской компании в США. FCA заявило, что кража данных была “полностью предотвратимой”. Однако, несмотря на известные уязвимости в системах безопасности Equifax Inc., дочерняя Equifax Ltd. не осуществляла достаточного контроля за защитой передаваемых данных.
Регулятор также отметил, что британский филиал узнал о доступе к данным потребителей также лишь через шесть недель после обнаружения взлома родительской компании.
Публичные заявления Equifax Ltd. по поводу инцидента создали неточное представление о числе пострадавших потребителей, а компания неадекватно реагировала на жалобы британских клиентов, утверждает регулятор.
Тереза Чемберс из FCA подчеркнула, что финансовые компании обязаны заботиться о данных своих клиентов, независимо от их аутсорсинга. Джессика Русу из этой же организации добавила, что решение регулятора подчёркивает значимость кибербезопасности для стабильности финансовых услуг.
Напомним, в 2019 году Equifax Inc. согласилась заплатить $575 млн в качестве компенсации за свои просчёты в безопасности. А в 2018 году UK Information Commissioner’s Office (ICO) также наложил на Equifax штраф в размере £500,000 за нарушение принципов Закона о защите данных.