Talktalk可能面临巨额数据泄露赔偿费用
与最近披露的网络攻击有关的巨大补偿成本和潜在违反其四百万客户的个人数据的巨大补偿成本。
在新闻之后不到一周的消息是索尼图片支付800万美元的赔偿金对由数据泄漏影响的前雇员,遵循acbyber攻击2014年,Talktalk面临着类似的情况。
虽然索尼在长远来看,索尼不太可能受到薪水的影响,但一些评论员建议说话的未来可能在危险之中,律师代表成千上万的客户看待1,000英镑的赔偿索赔和预期的总收入根据每日明星,高达7500万英镑。
但是受影响的客户的确切数量仍然是未知的,这使得无法估计总补偿成本可能是什么。
Talktalk已证实,国防公司BAE系统是调查可能会损害客户个人数据的网络攻击。
BAE应用智能专区发言人表示,该公司的网络专家正在分析“大量”数据,以帮助建立违规行为如何以及被盗的信息,根据国际商业时间。
苏格兰院子还在国家犯罪机构和国家犯罪机构一起调查,但没有逮捕。
官员在审查声称攻击和寻求付款的人发送的人发送的赎金需求 - 但TalkTalk表示尚未清楚,如果信息是真实的。
信息专员办公室(ICO)还正在调查数据泄露,该办公室目前旨在强大,如果谈判犯有严格的数据保护失败犯有犯罪,则授权将最高500,000英镑的货币罚款。
Talktalk已经淡化了违约的潜在影响,强调其网站只遭到攻击,而不是其核心系统,这意味着只有部分信用卡号码被暴露,使其理论上无用于网络犯罪分子。
“我们现在预计可能被访问的财务信息数量低于最初相信,并且本身不会使罪犯从您的账户中扣除罪名,”该公司在一份声明中表示。
然而,网络安全专家们已经表示,单独的个人数据丢失极为严重。“媒体网点在很大程度上重点放在被盗的信用卡号上,然而,在实践中,对于普通人盗窃个人数据更为重要,” Imperva联合创始人和CTO Amichai Shulman。
“我对客户的建议是密切关注银行账户上的欺诈活动,并特别警惕网络钓鱼攻击,”他补充道。
惠普数据安全副主席Andy Heather表示,财务信息信用卡或账户信息的盗窃存在有限的寿命,因为这些事情可以改变。
“但是通过访问某人的账户个人资料可以获得的个人信息具有更广泛的使用,可用于提交更广泛的欺诈和身份盗窃,并且根本无法改变,”他说。
根据希瑟的说法,单一被盗信用卡的销售价格约为1美元,但如果该卡信息销售全面识别档案,则可以大幅增加高达500美元。
“如果网络罪犯知道真正的价值在哪里,那么我们都应该期望一个负责任的组织来适当地注意保持武器信息安全,”他说。
“这次违规突出了公司需要更严格地控制客户的”敏感信息受到保护。“
据Talktalk首席执行官Dido Harding,网络攻击一直在发生大量组织。
“可怕的事实是,每个公司,英国的每个组织都需要花更多的钱,并更加注重网络安全 - 它是我们时代的罪行,”她告诉电报。
HARDING说,这是“太早说”公司是否建立赔偿基金,以处理袭击事件的堕落,因为仍然不清楚有多少客户受到了影响,根据监护人的数据。
虽然TalkTalk被批评而不是确保所有数据加密,但一些安全专家指出,加密不会阻止所有网络入侵。
虽然加密将确保网络犯罪分子捕获的任何原始数据都无法使用,但独立的安全顾问Graham Cluley指出,使用受损凭证进行了高比例的数据泄露。
这意味着使用合法用户的凭据访问数据,这又意味着当使用被盗凭据访问犯罪分子时,数据将自动解密数据。
如果黑客使用SQL-Inject漏洞或任何其他漏洞来获取root权限指南,则Hacker可以作为任何用户登录,表示Cluley。
“而且因为他是一个授权的用户,他可以访问Kosher用户拥有的敏感数据库,”他在博客文章中写道。
Tim Erlin是Tim Erlin,IT安全和风险战略主任在Tripwire中表示,虽然任何收集,存储或传输个人信息的组织很重要,但要确保数据在休息和运输过程中加密,但单独加密不是一个完美的解决方案数据盗窃。
“我们需要保护的敏感数据也需要由各种业务系统使用。如果这些系统受到损害,则攻击者仍可访问数据。他说,公司需要确保其系统的配置以及加密他们使用的数据。“
然而,商业咨询公司CEB表示,在响应TalkTalk潜在个人数据违约的消息时,其他组织不应专注于单独投资新技术。
CEB IT练习领导者Jeremy Bergsman表示,ConntTalk的网络攻击导致了许多其他组织可以考虑可以做些什么来阻止这些攻击。
虽然许多公司都专注于想要利用大数据的幻想新的安全工具,但事实证明,专注于基础知识更为重要,“他说。
Bergsman表示,研究表明,2014年超过99%的成功数据泄露利用了一岁以上的漏洞,而超过50%的违规是员工行为的结果,例如打开具有损坏链接的网络钓鱼电子邮件或附件。
“大多数违规者都可以通过修补已知的漏洞或避免员工错误来阻止大多数违规者表明,一个组织专注的最重要的事情是始终应用的基本保护,帮助员工了解他们在保持信息安全和明确政策中的作用风险与合规性,“他说。
“同时安全控制不能太大的负担;首席信息安全官员需要了解员工时间和资源的要求。“