أكبر 10 غرامات وعقوبات وتسويات في مجال الأمن السيبراني لعام 2021 (حتى الآن)

أكبر 10 غرامات وعقوبات وتسويات في مجال الأمن السيبراني لعام 2021 (حتى الآن)
وفقًا لتقرير اتجاهات الهجمات السيبرانية الصادر عن شركة CheckPoint: تقرير منتصف العام 2021، زادت الهجمات السيبرانية العالمية بنسبة 29% (مع ارتفاع هجمات برامج الفدية بنسبة 93% وزيادة هجمات سلسلة التوريد) في النصف الأول من عام 2021.
سنستمر في رؤية زيادة في الهجمات الإلكترونية على المستوى العالمي.
ستستعرض هذه المقالة أكبر 10 مدفوعات قانونية متعلقة بالأمن السيبراني لعام 2021 ناتجة عن إجراءات واجبة النفاذ من قبل الجهات التنظيمية، وانتهاكات للوائح/قانون الخصوصية والدعاوى الجماعية الناجمة عن الانتهاكات أو الثغرات في الضوابط الأمنية.
أبرز الغرامات والعقوبات والتسويات لعام 2021
لوائح/قوانين الخصوصية (على سبيل المثال، اللائحة العامة لحماية البيانات (GDPR)، وقانون نقل التأمين الصحي والمساءلة (HIPAA) وغيرها)
شركة Amazon Europe Core S.a.r.l.
في يوليو 2021، أصدرت اللجنة الوطنية لحماية البيانات في لوكسمبورغ (CNPD) غرامة قدرها 746 مليون يورو ضد شركة Amazon لعدم امتثالها للمبادئ العامة لمعالجة البيانات الخاصة باللائحة العامة لحماية البيانات (GDPR). هذه هي أكبر غرامة في أوروبا ضد انتهاك اللائحة العامة لحماية البيانات (الرقم القياسي السابق كان غرامة قدرها 50 مليون يورو ضد شركة جوجل فرنسا من قبل اللجنة الوطنية الفرنسية للمعلوماتية والحرية (CNIL)).
وقد صدرت هذه الغرامة استجابةً لشكوى جماعية قدمها 10,000 شخص عبر مجموعة فرنسية معنية بحقوق الخصوصية “La Quadrature du Net” ضد شركة Amazon في مايو 2018. استندت الشكوى ضد أمازون إلى كيفية معالجة أمازون للبيانات الشخصية للعملاء – حيث تم إجراء التحليل السلوكي واستهداف الإعلانات دون أساس قانوني للمعالجة. ومع ذلك، لا يمكن نشر القرار الكامل والتفاصيل التي قدمتها اللجنة الوطنية لحماية البيانات الشخصية حتى انتهاء الموعد النهائي للاستئناف (ثلاثة أشهر بعد اتخاذ القرار) وإغلاق قضية الاستئناف.
شركة واتساب أيرلندا المحدودة
في سبتمبر 2021، أصدرت لجنة حماية البيانات في أيرلندا (DPC) غرامة قدرها 225 مليون يورو ضد شركة واتساب لعدم امتثالها لالتزامات الشفافية التي يفرضها القانون العام لحماية البيانات (GDPR) على كل من مستخدمي خدمات واتساب وغير المستخدمين.
وقد صدرت هذه الغرامة استجابةً لشكوى تقدم بها الناشط في مجال الخصوصية ماكس شريمس ضد التزامات واتساب بالشفافية فيما يتعلق بالمشاركة المحتملة للبيانات الشخصية بين واتساب والعديد من شركات فيسبوك في عام 2018.
في ديسمبر 2020، اختتمت لجنة حماية البيانات الأيرلندية تحقيقاتها وأرسلت مسودة قرارها إلى السلطات الإشرافية المعنية الأخرى داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية للنظر فيها، كما هو مطلوب بموجب اللائحة العامة لحماية البيانات. ومع ذلك، أثار عدد من السلطات الإشرافية الأخرى اعتراضات على مسودة الاستنتاجات والغرامة المقترحة التي تصل إلى 50 مليون يورو. وأدى ذلك إلى تدخل المجلس الأوروبي لحماية البيانات (EDPB) الذي طلب من لجنة حماية البيانات الأيرلندية إعادة تقييم مسودة قرارها فيما يتعلق بانتهاكات الشفافية والغرامة المقترحة والفترة المطلوبة للامتثال لالتزامات الشفافية.
خطة Excellus Health Plan
في يناير 2021، وافقت خطة Excellus Health Plan على دفع غرامة قدرها 5.1 مليون دولار أمريكي لمكتب الحقوق المدنية (وزارة الصحة والخدمات الإنسانية، الولايات المتحدة) فيما يتعلق بالانتهاكات المحتملة لقواعد الخصوصية والأمان الخاصة بقانون HIPAA.
في عام 2015، تعرضت شركة Excellus لهجوم إلكتروني حيث تمكن أفراد خبيثون وغير مصرح لهم من الوصول إلى أنظمة تكنولوجيا المعلومات (IT) الخاصة بها مما أدى إلى اختراق محتمل للمعلومات الصحية المحمية إلكترونيًا (ePHI) لأكثر من 9.3 مليون فرد. أسفر تحقيق في برنامج الأمن السيبراني لشركة Excellus من قبل مكتب المفوضية السامية للمفوضية السامية لحقوق الإنسان عن انتهاكات محتملة لقواعد قانون HIPAA (بما في ذلك الفشل في إجراء تقييم مخاطر المؤسسة، وتنفيذ تدابير أمنية بما في ذلك ضوابط الوصول والسياسات والإجراءات الفنية).
بالإضافة إلى ذلك، وافقت شركة Excellus على تنفيذ خطة عمل تصحيحية حول عملية إدارة الأمن والسياسات والإجراءات الأمنية الخاصة بها والمراقبة لمدة عامين.
Notebooksbilliger.de
في يناير 2021، أصدرت هيئة الإشراف على البيانات في ولاية سكسونيا السفلى (LfD Niedersachsen) غرامة قدرها 10.4 مليون يورو ضد شركة Notebooksbilliger.de، وهي شركة ألمانية لبيع الإلكترونيات بالتجزئة، لعدم امتثالها للمبادئ العامة لمعالجة البيانات وعدم كفاية الأساس القانوني لمعالجة البيانات.
قامت شركة Notebooksbilliger.de بمراقبة موظفيها لمدة عامين لمنع الجرائم الجنائية والتحقيق فيها وتتبع تدفق البضائع في المستودع. تم تنفيذ هذه المراقبة لموظفيها (وعملائها) دون أي أساس قانوني لمعالجة البيانات. بالإضافة إلى ذلك، تم الاحتفاظ بتسجيلات الفيديو لأكثر من 60 يومًا، وهي فترة أطول بكثير من اللازم (وفي انتهاك لمبدأ الحد من تخزين البيانات) من اللائحة العامة لحماية البيانات.
ملحوظة: اعتبارًا من 8 يناير 2021، لم تكن الغرامة ملزمة قانونًا بعد، وكان موقع Notebooksbilliger.de قد صمم بشكل قانوني مراقبة الفيديو الخاصة به مع تقديم دليل على ذلك إلى LfD Niedersachsen.
Vodafone Espana, S. A.U.
في مارس 2021، أصدرت هيئة حماية البيانات الإسبانية (AEPD) غرامة قدرها 8.15 مليون يورو ضد شركة فودافون، عملاق الاتصالات، بسبب انتهاكاتها للائحة العامة لحماية البيانات والقوانين الأخرى ذات الصلة داخل إسبانيا. جاءت الغرامة نتيجة للانتهاكات التالية التي تم تحديدها أثناء التحقيق:
تم تقديم عدة شكاوى ضد أنشطة فودافون التسويقية غير المرغوب فيها مثل الرسائل النصية القصيرة والمكالمات ورسائل البريد الإلكتروني. كان العملاء قد مارسوا حقوقهم في الاعتراض على معالجة معينة، ومع ذلك لم تلتزم فودافون بوقف هذه المعالجة.
لم تطبق فودافون التدابير التقنية والتنظيمية المناسبة (تشمل أيضًا معالجي البيانات الذين يعالجون البيانات الشخصية نيابةً عنها).
أجرت فودافون نقلًا دوليًا للبيانات الشخصية إلى كيان في بيرو دون التأكد من تضمين البنود التعاقدية الإلزامية لنقل البيانات الشخصية إلى معالجات في دول العالم الثالث في اتفاقيتها التعاقدية.
أنشأت فودافون أرقامًا وعناوين عشوائية ثم اتصلت بالأفراد الذين لم يوافقوا على أنشطة التسويق.
اللوائح التنظيمية الخاصة بالصناعة (على سبيل المثال، متطلبات الأمن السيبراني الخاصة بإدارة الخدمات المالية في نيويورك (NYDFS) لشركات الخدمات المالية، وقانون الأوراق المالية لعام 1933، وقانون البورصة لعام 1934، إلخ.)
المؤسسة الوطنية للأوراق المالية
في أبريل 2021، أصدرت إدارة الخدمات المالية في نيويورك (NYDFS) غرامة قدرها 3 ملايين دولار أمريكي على الشركة الوطنية للأوراق المالية بسبب انتهاكاتها للائحة NYDFS.
خلال التحقيقات التي أجرتها، لاحظت NYDFS أن شركة National Securities تعرضت لأربع حوادث أمن إلكتروني بين عامي 2018 و2020، منها حادثتان لم يتم إبلاغ NYDFS خلال 72 ساعة كما هو مطلوب بموجب لوائح NYDFS. وتضمنت حوادث الأمن السيبراني هذه الوصول غير المصرح به إلى حسابات البريد الإلكتروني للموظفين، بما في ذلك المدير المالي ومعلومات العملاء، مما أدى إلى تحويل غير مصرح به للأموال من العملاء.
بالإضافة إلى ذلك، قدمت الشركة الوطنية للأوراق المالية شهادة امتثال تثبت امتثالها للائحة التنظيمية لشركة NYDFS للسنة التقويمية 2018 كما هو مطلوب. كانت شهادة الامتثال هذه خاطئة لأن شركة National Securities لم تطبق العديد من الضوابط الأمنية مثل المصادقة متعددة العوامل (MFA)، وضوابط الوصول.
شركة First American Financial Corporation
في يونيو 2021، قامت لجنة الأوراق المالية والبورصات الأمريكية بتسوية اتهامات ضد شركة First American لخدمات التسوية العقارية بسبب انتهاكاتها لمتطلبات الإفصاح فيما يتعلق بمخاطر الأمن السيبراني وحوادث بيان اللجنة وإرشاداتها بشأن الشركات العامة. وافقت فيرست أمريكان على أمر وقف التنفيذ ودفع غرامة قدرها 487,616 دولارًا أمريكيًا إلى هيئة الأوراق المالية والبورصات الأمريكية.
في عام 2019، أُخطرت شركة First American بوجود ثغرة أمنية إلكترونية في تطبيقها المستخدم لمشاركة معلومات التعريف الشخصية (PII) والمعلومات الحساسة لعملائها والتي يعود تاريخها إلى عام 2003. وقد سمحت الثغرة بإتاحة أكثر من 800 مليون وثيقة متعلقة بالمعاملات العقارية للجمهور عبر موقعها الإلكتروني دون تصريح.
بعد فترة وجيزة من نشر القصة حول الثغرة، أصدرت شركة First American بعد فترة وجيزة من نشر القصة حول الثغرة، أصدرت شركة First American ملفاً من نوع 8-K إلى هيئة الأوراق المالية والبورصات يفيد بأن شركة First American لم تكن على علم بالثغرة. ومع ذلك، أثناء التحقيق الذي أجرته لجنة الأوراق المالية والبورصات، لوحظ أنه تم تحديد الثغرة من قبل فريق أمن المعلومات في شركة First American قبل أشهر خلال عملية تدقيق داخلي؛ ومع ذلك، فشل فريق الأمن في معالجة الثغرة في الوقت المناسب كما هو محدد في سياسة الشركة. بالإضافة إلى ذلك، لم يتمكنوا من إخطار الإدارة العليا بالثغرة.
مطلوب من شركة First American أيضًا الامتثال للوائح NYDFS. لذلك، فإن هذه الثغرة والاختراق ينتهك العديد من المتطلبات وفقًا للوائح NYDFS. لا تزال التحقيقات من قبل NYDFS جارية.
شركة Pearson Plc
في أغسطس 2021، قامت لجنة الأوراق المالية والبورصات الأمريكية بتسوية اتهامات ضد شركة Pearson Plc، وهي شركة نشر وتعليم، بسبب انتهاكاتها لمتطلبات الإفصاح الواردة في بيان اللجنة وإرشاداتها بشأن الشركة العامة فيما يتعلق بمخاطر الأمن السيبراني والحوادث الإلكترونية. وافقت شركة Pearson Plc على أمر وقف التنفيذ ودفع غرامة قدرها مليون دولار أمريكي للجنة الأوراق المالية والبورصات.
في عام 2019، أعلنت شركة Pearson أنه تم إخطارها من قبل مكتب التحقيقات الفيدرالي (FBI) بأنها كانت هدفًا لهجوم إلكتروني أدى إلى اختراق بيانات معلومات تحديد الهوية الشخصية في عام 2018. وقد أثر هذا الاختراق للبيانات على أكثر من 13,000 حساب مدرسي وجامعي، معظمها في الولايات المتحدة، عبر منصتها لمراقبة وتقييم الطلاب، AIMSweb.
ومع ذلك، وفقًا للتحقيقات التي أجرتها لجنة الأوراق المالية والبورصات، لوحظ أن بيرسون قدمت بيانات مضللة حول اختراق البيانات. في يوليو 2019، أثناء إعداد تقاريرها نصف السنوية، أشارت بيرسون إلى خرق البيانات على أنه خطر افتراضي في حين أن خرق البيانات قد حدث بالفعل، وتم إخطارهم بالفعل. بالإضافة إلى ذلك، كانت بيرسون قد ذكرت أن لديها ضوابط صارمة للأمن السيبراني في حين أن الثغرة التي أدت إلى كشف البيانات الشخصية لم يتم معالجتها إلا بعد ستة أشهر من إخطارهم. لم تذكر بيرسون أيضًا أن معلومات التعريف الشخصية للطلاب قد سُرقت أثناء الهجوم.
الدعاوى القضائية
شركة Zoom Video Communications (Zoom)
في يوليو 2021، وافقت Zoom على دفع 85 مليون دولار أمريكي لتسوية دعوى قضائية جماعية رُفعت ضدها تزعم أنها انتهكت حقوق الخصوصية للمستخدمين من خلال عدم توفيرها لأمن التشفير، ومشاركة معلومات التعريف الشخصية للمستخدمين دون إشعار أو موافقة مع شركات مثل فيسبوك وجوجل وغيرها، وفشلت أيضًا في حماية المستخدمين (واجتماعات التكبير) من الانقطاعات غير المصرح بها (“قصف التكبير”).
وفقًا لشروط التسوية، سيحق لجميع المشتركين الذين دفعوا مقابل الحساب الحصول على 15% من رسوم الاشتراك أو 25 دولارًا، أيهما أكبر. مستخدمو زووم الآخرون مؤهلون للمطالبة بـ 15 دولارًا.
بالإضافة إلى ذلك، وافقت زووم على إجراء بعض التغييرات لتحسين أمان المستخدمين وخصوصيتهم، بما في ذلك تحديث إشعار الخصوصية للإشارة إلى إمكانية مشاركة بيانات المستخدم عبر برامج الطرف الثالث وتوعية مستخدميها بميزات الأمان.
من المقرر الموافقة على التسوية المقترحة في 21 أكتوبر 2021.
شركة Minted Inc.
في مايو 2021، وافقت شركة Minted (وهي سوق مقرها الولايات المتحدة) على إنشاء صندوق تسوية بقيمة 5 ملايين دولار أمريكي لتسوية دعوى جماعية مرفوعة بسبب انتهاكات قانون خصوصية المستهلك في كاليفورنيا (CCPA) من خلال عدم اتخاذ خطوات معقولة في حماية بيانات المستهلكين واكتشاف اختراق البيانات وإخطار العملاء في الوقت المحدد.
في عام 2020، كانت Minted هدفًا لهجوم إلكتروني أدى إلى اختراق البيانات وكشف أكثر من 4.1 مليون معلومة هوية شخصية للعملاء وبيع السجلات في نهاية المطاف على الويب المظلم من قبل مجموعة قرصنة تدعى Shiny Hunter. بعد ثلاثة أسابيع من إخطار شركة Minted ببيع سجلاتها على الإنترنت، قامت الشركة بإخطار عملائها بأنهم تأثروا بهجوم إلكتروني.
ووفقًا لشروط التسوية، سيحصل المشتركون المتأثرون في اختراق البيانات على ما يصل إلى 43 دولارًا أمريكيًا وخدمات ائتمانية لمدة عامين، بما في ذلك مراقبة الائتمان وتنبيهات الاحتيال وخدمات استعادة الهوية. بالإضافة إلى ذلك، ستنفذ Minted العديد من التغييرات لتحسين أمن وخصوصية المستخدمين، بما في ذلك إجراء تدقيق للأمن السيبراني لضمان الامتثال لنظام التحكم في النظام والتنظيم 2 (SOC 2) خلال العامين المقبلين.
من المقرر عقد جلسة الموافقة النهائية في 2 ديسمبر 2021.
الامتثال للقانون
في الختام، تحتاج المؤسسات إلى مراجعة جميع أنشطة معالجة البيانات الخاصة بها والتأكد من أنها تتماشى مع متطلبات القوانين ذات الصلة مثل الأساس القانوني للمعالجة وحقوق أصحاب البيانات وإدارة معالجي البيانات وعمليات نقل البيانات الدولية. كما تحتاج أيضًا إلى تنفيذ برنامج لأمن المعلومات بعد إجراء تقييم لمخاطر تكنولوجيا المعلومات الخاصة بها بما في ذلك الأمن السيبراني وخصوصية البيانات. بالإضافة إلى ذلك، يجب على المؤسسات إجراء تقييمات أمنية منتظمة لتحديد الثغرات في الضوابط الأمنية ومعالجتها في الوقت المناسب.
تتعرض المؤسسات اليوم أيضًا لمخاطر الامتثال الناتجة عن انتهاكات القوانين واللوائح ومدونات قواعد السلوك. من المهم إجراء تقييمات لمخاطر الامتثال لتحديد المخاطر المتعلقة بعدم الامتثال التي قد تؤدي إلى فرض غرامات أو عقوبات وتحديد أولوياتها وضوابطها.
المصادر
اتجاهات الهجمات الإلكترونية: تقرير منتصف العام 2021، تشيك بوينت
تعقب إنفاذ اللائحة العامة لحماية البيانات، تعقب الإنفاذ
القرار المتعلق بشركة Amazon Europe Core S.À.R.L، اللجنة الوطنية لحماية البيانات، لوكسمبورغ
غرامة قدرها 746 مليون يورو ضد أمازون بعد شكاوانا الجماعية، La Quadrature du Net
قرار لجنة حماية البيانات في تحقيق واتساب، لجنة حماية البيانات، لجنة حماية البيانات
مجلس حماية البيانات الأوروبي يطلب من هيئة حماية البيانات الأيرلندية تعديل قرار واتساب، المجلس الأوروبي لحماية البيانات
شركة التأمين الصحي تدفع 5.1 مليون دولار لتسوية خرق البيانات، وزارة الصحة والخدمات الإنسانية الأمريكية
فرضت LfD Niedersachsen غرامة قدرها 10.4 مليون يورو على موقع notebooksbilliger.de، LfD Niedersachsen
المشرف على إدارة الخدمات المالية يعلن عن تسوية الأمن السيبراني مع شركة التأمين المرخصة، إدارة الخدمات المالية
شركة فيرست أمريكان فاينانشال تدفع غرامة مالية قدرها 500 ألف دولار، كريبسون سيكيوريتي
إدارة الخدمات المالية تعلن عن اتهامات تتعلق بالأمن السيبراني ضد شركة رائدة في مجال التأمين الصغير، إدارة الخدمات المالية
هيئة الأوراق المالية والبورصات الأمريكية تتهم مُصدرًا بقصور في ضوابط الإفصاح عن الأمن السيبراني، هيئة الأوراق المالية والبورصات الأمريكية
لجنة الأوراق المالية والبورصات الأمريكية تتهم شركة بيرسون بي إل سي بتضليل المستثمرين بشأن الاختراق الإلكتروني، لجنة الأوراق المالية والبورصات الأمريكية
دعوى قضائية جماعية ضد شركة Zoom Video Communications، HuntonPrivacyBlog
أتكينسون رينفال ضد مينتد التسوية المقترحة، التسوية المقترحة من مينتد
إسبانيا AEPD تغريم شركة فودافون إسبانيا 8.15 مليون يورو بسبب فشل الاتصالات التجارية، إرشادات البيانات