От ИБ-компании требуют $30 млн за то, что плохо защищала своих клиентов 10 лет назад

Попытка вернутьденьги Две зарубежные страховые фирмы подали в суд на известного вендорасредств кибербезопасности Trustwave. По мнению истцов, Trustwave несетответственность за то, что ее продукты не смогли обнаружить и остановитьвредоносное ПО, из-за которого произошла утечка данных у их общего клиента.Представители Trustwave утверждают, что у иска нет судебных перспектив. Истцы — фирмы Lexington Insurance Company и BeazleyInsurance Company — оказывали услуги страхования платежной компании HeartlandPayment Systems, одному из ведущих игроков рынка. В 2009 г. компания Heartland признала факт крупногокиберинцидента: в 2008 г. злоумышленникам удалось похитить данные более чем 100млн платежных карт клиентов компании. Страховщики пытаются вернуть свои деньги. Истцы требуют $30млн в качестве минимальной компенсации своих расходов. При этом в результате ужесостоявшихся разбирательств Heartland пришлось выплатить более $148 млн впорядке урегулирования исков, поданных ее клиентами. Lexingtone и Beazley пришлосьвыплатить крупные страховки — $20 млн и $10 млн соответственно. Страховые фирмы пытаются засудить вендора безопасности за инцидент у их общего клиента Ответчик обвиняется в том, что не выполнил своиобязательства перед Heartland. Как утверждают истцы, Trustwave не смоглараспознать кибератаку, случившуюся 24 июля 2007 г., когда хакер, произведяSQL-инъекцию, проник в инфраструктуру платежной системы. Эксперты Trustwave несмогли также выявить и вторую атаку, когда злоумышленники установиливредоносное ПО прямо на серверы Heartland. Сертификация снарушениями Истцы также ссылаются на утверждения экспертов корпорацииVisa, которые заявили, что Trustwave некорректно провела процедуру сертификацииHeartland на предмет соответствия стандарту безопасности платежных карт PCSDSS. Только компании, прошедшие сертификацию на соответствие PCS DSS, имеютправо работать с платежными картами. В отчете Visa указывалось, что эксперты Trustwave,проводившие аудит, проигнорировали множественные нарушения нормкибербезопасности в инфраструктуре Heartland: отсутствие файерволла,использование «заводских» паролей, отсутствие надлежащей защиты системыхранения данных платежных карт, отсутствие уникальных идентификаторов длякаждого пользователя системы и отсутствие регулярного мониторинга. Все это прямо нарушало правила сертификации PCS DSS, ноTrustwave все же присвоило Heartland статус соответствия стандарту. ВпоследствииVisa запретила Heartland сотрудничать с Trustwave. Все эти сведения страховые компании используют какаргументы, чтобы доказать виновность Trustwave в халатности. Trustwave: иск неправомочен Фирма Trustwave, со своей стороны, ответила встречным искомпротив страховщиков, требуя признать их претензии несостоятельными. По утверждению представителей компании, Trustwave незанималась управлением безопасности Heartland, а только оказывалаконсалтинговые услуги и выдала сертификат соответствия PCI DSS. Сертификация, однако,не подразумевает, что инфраструктура Heartland неуязвима перед кибератаками. Сосвоей стороны Heartland не выдвигала никаких претензий к Trustwave. «Степень ответственности консультантов по кибербезопасностиза инциденты, случившиеся у их клиентов, — это, безусловно, щекотливый вопрос,— считает Олег Галушкин, эксперт поинформационной безопасности компании SEC Consult Services. — Вряд ли существует"универсальный" ответ на него, в каждой ситуации он будет разным. Вслучае с Heartland и Trustwave, по-видимому, речь больше идет о желаниистраховщиков компенсировать свои убытки, нежели о реальной ответственности закибератаку». Стоит отметить, что Trustwave уже не впервые оказывается вроли ответчика по искам о киберинцидентах. В 2014 г. банковский конгломератбезуспешно пытался засудить Trustwave по итогам взлома платежной инфраструктурыритейлера Target. Иск был отклонен, поскольку оказалось, что Trustwave не имеланикакого отношения к защите инфраструктуры Target. Аналогичный иск к Trustwave был подан казино Affinity Gamingв 2016 г. Affinity в 2013 г. пострадало от хакерской атаки, для расследования иустранения последствий которой были привлечены эксперты Trustwave. Во времярасследования произошла еще одна хакерская атака, хотя специалисты Trustwaveутверждали, что системы Affinity теперь защищены. Иск был урегулирован вовнесудебном порядке. Ссылка на источник