Το να καταθέτει κανείς αγωγή κατά μιας επιχείρησης που υφίσταται παραβίαση δεδομένων, όπως συνέβη στην περίπτωση της Blackbaud, είναι σύνηθες φαινόμενο. Επιπλέον, το ransomware γίνεται όλο και περισσότερο μέρος του mix (Ransomware + Κλοπή + Διαρροή = Παραβίαση δεδομένων), δεδομένου ότι οι hacking συμμορίες πρώτα κλέβουν δεδομένα από τα θύματά τους και στη συνέχεια τα απειλούν ότι θα τα διαρρεύσουν, σε περίπτωση που τα θύματα αρνηθούν να πληρώσουν τα λύτρα που τους ζητούνται.
Το ransomware εγείρει άλλο ένα ζήτημα όσον αφορά την παραβίαση δεδομένων, αλλά και τις πιθανές νομικές συνέπειες με τις οποίες έρχονται αντιμέτωποι οι οργανισμοί που υφίστανται παραβίαση. Ειδικότερα, ένας μεγάλος αριθμός οργανισμών που έχουν πληγεί από ransomware, δήλωσαν ότι ήταν σε θέση να αποκαταστήσουν συστήματα από backups. Παρόλα αυτά πλήρωσαν λύτρα στους εισβολείς τους, με αντάλλαγμα οι δεύτεροι να υποσχεθούν ότι θα διαγράψουν όλα τα κλεμμένα δεδομένα και δεν θα τα παράσχουν ούτε θα τα πουλήσουν σε άλλους.
Μπορούν όμως οι οργανισμοί να διασφαλίσουν ότι οι εισβολείς θα τηρήσουν την υπόσχεσή τους; Αυτή είναι μια ερώτηση που τέθηκε από την αγωγή κατά της Blackbaud (εταιρεία παροχής cloud computing που εδρεύει στη Νότια Καρολίνα). Η αμερικανική εταιρεία που παρέχει υπηρεσίες σε χιλιάδες φιλανθρωπικά ιδρύματα, πανεπιστήμια, οργανισμούς υγειονομικής περίθαλψης και άλλα, υπέστη μια επίθεση εξαφάνισης δεδομένων και ransomware τον Μάιο.
Εν τω μεταξύ, παραμένουν αναπάντητα πολλά ερωτήματα σχετικά με την παραβίαση της Blackbaud, καθώς η εταιρεία εντόπισε την εισβολή τον Μάιο, αλλά ξεκίνησε να ενημερώνει σχετικά τους πελάτες της τον Ιούλιο. Μεταξύ των θυμάτων αυτού του περιστατικού ασφαλείας περιλαμβάνονται οργανισμοί στην Ευρώπη, γεγονός που σημαίνει ότι η Blackbaud πρέπει να συμμορφώνεται με τον Γενικό Κανονισμό Προστασίας Δεδομένων της ΕΕ (GDPR), ο οποίος απαιτεί οι ρυθμιστικές αρχές να ενημερώνονται εντός 72 ωρών από οποιαδήποτε παραβίαση σχετικά με το τί συνέβη και τί κλάπηκε. Η Blackbaud δεν έχει ακόμη ανταποκριθεί στο αίτημα του Information Security Media Group για διευκρίνιση σχετικά με το πότε ενημέρωσε για πρώτη φορά τους Ευρωπαίους ρυθμιστές για το συμβάν.
Επιπλέον, στην ειδοποίηση που εξέδωσε η Blackbaud για την παραβίαση, αναφέρει ότι πλήρωσε λύτρα, για να εξασφαλίσει μια υπόσχεση από τους εισβολείς ότι θα διαγράψουν όλα τα δεδομένα που κλάπηκαν. Η Blackbaud πρόσθεσε ακόμη πως οι εισβολείς δεν είχαν πρόσβαση σε πληροφορίες πιστωτικών καρτών, στοιχεία τραπεζικών λογαριασμών ή αριθμούς κοινωνικής ασφάλισης. Επεσήμανε ακόμη ότι η προστασία των δεδομένων των πελατών της είναι η πρώτη της προτεραιότητα, γι’αυτό πλήρωσε τα λύτρα που της ζητήθηκαν, λαμβάνοντας από τους εισβολείς την διαβεβαίωση ότι τα δεδομένα που είχαν κλαπεί, καταστράφηκαν.
Μετά την ειδοποίηση που εξέδωσε για την παραβίαση, η Blackbaud δέχτηκε στις 12 Αυγούστου μια αγωγή που κατατέθηκε από την Whitfield Bryson & Mason LLP για λογαριασμό του κατοίκου των ΗΠΑ William Allen, του οποίου οι ιδιωτικές πληροφορίες διακυβεύτηκαν λόγω της παραβίασης. Η αγωγή επιδιώκει, εν μέρει, επτά χρόνια προπληρωμένη παρακολούθηση κλοπής ταυτότητας για τα θύματα. Επίσης, σύμφωνα με την αγωγή, η άμυνα ασφαλείας της εταιρείας ήταν ανεπαρκής, ενώ οι εισβολείς ενδέχεται να έχουν θέσει σε κίνδυνο τεράστιο όγκο PII, συμπεριλαμβανομένων αριθμών κοινωνικής ασφάλισης, πιστωτικών καρτών και τραπεζικών λογαριασμών.
Ένας από τους δικηγόρους της εταιρείας, ο Matthew Lee, υποστήριξε ότι ενδέχεται να έχουν παραβιαστεί τα PII δεκάδων χιλιάδων ατόμων, συνεπώς αυτά τα άτομα πιθανώς διατρέχουν κίνδυνο κλοπής ταυτότητας σε όλη τους τη ζωή.
Η αγωγή υπογράμμισε επίσης τον ισχυρισμό της εταιρείας ότι πληρώνει τους εισβολείς, σε μία προσπάθεια να προστατέψει τα θύματα. Ο Lee τόνισε πως δεν πιστεύει ότι κάποιος που έχει παραβιάσει το σύστημα μιας εταιρείας μπορεί να τηρήσει την υπόσχεσή του ότι θα καταστρέψει τα δεδομένα που έκλεψε.
Πολλές παραβιάσεις δεδομένων πυροδοτούν αγωγές που ισχυρίζονται ότι ο παραβιασμένος οργανισμός είχε “κακούς” κι ανεπαρκείς ελέγχους ασφαλείας και ότι τα θύματα έχουν λάβει τη δέουσα αποζημίωση. Αλλά τουλάχιστον στις ΗΠΑ, πολύ λίγες από αυτές τις αγωγές πετυχαίνουν. Δικηγόροι αναφέρουν ότι αυτό οφείλεται στο γεγονός πως πολλά δικαστήρια έχουν κρίνει ότι τα θύματα πρέπει να υποστούν βλάβη και τέτοια βλάβη μπορεί να αποδειχθεί μόνο με οικονομική απώλεια.
Σύμφωνα με τον δικηγόρο Mark Rasch, ο οποίος είναι σύμβουλος του δικηγορικού γραφείου των Kohrman, Jackson & Krantz, σε καθαρές παραβιάσεις απορρήτου, τα δικαστήρια ήταν απρόθυμα να βρουν αποζημίωση για τα θύματα παραβίασης δεδομένων ως αποτέλεσμα της απλής έκθεσης ορισμένων τύπων προσωπικών πληροφοριών, επειδή το θύμα δεν μπορούσε να παρουσιάσει πραγματική βλάβη ως αποτέλεσμα της παραβίασης, πέρα από την βλάβη που ισχυρίζεται θεωρητικά ότι υπέστη, ως συνέπεια της οποίας φοβάται ότι κάποια στιγμή στο μέλλον, ενδέχεται να κλαπεί η ταυτότητά του. Ο Rasch πρόσθεσε ακόμη ότι αν κοιτάξει κανείς το ιστορικό των παραβιάσεων δεδομένων, οι πρώτες παραβιάσεις ήταν των στοιχείων πιστωτικών καρτών και η ζημιά ήταν ότι κάποιος θα έκλεβε χρήματα από τον λογαριασμό ενός θύματος.
Οι κανονισμοί για την κοινοποίηση παραβιάσεων δεδομένων από τα κράτη έχουν σχεδιαστεί για να διασφαλίζουν ότι οι επηρεαζόμενοι καταναλωτές ενημερώνονται εγκαίρως, ώστε να μπορούν να λάβουν τα απαραίτητα μέτρα για τη διαφύλαξη των PII τους.
Ωστόσο, τράπεζες ή εταιρείες πιστωτικών καρτών είναι συχνά οι πρώτες που διαπιστώνουν μία παραβίαση, επειδή παρατηρούν μια σειρά ασυνήθιστων χρεώσεων σε όλες τις κάρτες. Έτσι, ακυρώνουν κάρτες κι εκδίδουν νέες, ενώ οι εκδότες καρτών συνήθως αποζημιώνουν για οποιαδήποτε απάτη προκύπτει. Έτσι, ο μετριασμός έχει ήδη γίνει πριν από την ειδοποίηση για την παραβίαση δεδομένων, σύμφωνα με τον Rasch. Πολλοί παραβιασμένοι οργανισμοί προσφέρουν επίσης τουλάχιστον ένα έτος προπληρωμένων υπηρεσιών παρακολούθησης κλοπής ταυτότητας, εάν έχουν εκτεθεί πιστωτικές κάρτες, αριθμοί κοινωνικής ασφάλισης ή άλλα δεδομένα που ενδέχεται να χρησιμοποιηθούν για σκοπούς κλοπής ταυτοτήτων.
Ωστόσο, αυτό δεν εμποδίζει πολλές αγωγές να προβάλλουν ισχυρισμούς περί παραβίασης απορρήτου. Παρόλα αυτά, στις ΗΠΑ, η ζημιά απαιτεί την εμφάνιση οικονομικής απώλειας και το απόρρητο δεν έχει αξία σε δολάρια. Ο Rasch ανέφερε ότι το γεγονός ότι δεν αποδίδεται μια τιμή δολαρίου στο απόρρητο σημαίνει ότι αυτό δεν εκτιμάται.
Όσον αφορά την Blackbaud, τί γίνεται με τη στρατηγική της αγωγής που προσπαθεί να κατηγορήσει την εταιρεία για την καταβολή λύτρων σε εισβολείς, ως μέρος της προσπάθειάς της να προστατεύσει τα κλεμμένα δεδομένα; Ο Rasch λέει ότι αυτό μπορεί να λειτουργήσει υπέρ της Blackbaud, καθώς δείχνει ότι η εταιρεία έλαβε σκόπιμα μέτρα για να προσπαθήσει να διαχειριστεί το συμβάν και να μετριάσει τον αντίκτυπό του, αντί να προσπαθήσει να καλύψει το περιστατικό. Τέλος, ο Rasch τόνισε πως η εταιρεία δεν πληρώνει τους χάκερ για τη σιωπή τους, αλλά για να καταστρέψουν τα κλεμμένα δεδομένα, και αυτό δεν είναι απαραίτητα κάτι παράλογο.
