НОВОЕ РУКОВОДСТВО ПО СОВРЕМЕННЫМ УГРОЗАМ В СФЕРЕ БЕЗОПАСНОСТИ


Попытка вернуть деньги

Две зарубежные страховые фирмы подали в суд на известного вендора средств кибербезопасности Trustwave. По мнению истцов, Trustwave несет ответственность за то, что ее продукты не смогли обнаружить и остановить вредоносное ПО, из-за которого произошла утечка данных у их общего клиента. Представители Trustwave утверждают, что у иска нет судебных перспектив.

Истцы - фирмы Lexington Insurance Company и Beazley Insurance Company - оказывали услуги страхования платежной компании Heartland Payment Systems, одному из ведущих игроков рынка.

В 2009 г. компания Heartland признала факт крупного киберинцидента: в 2008 г. злоумышленникам удалось похитить данные более чем 100 млн платежных карт клиентов компании.

Страховщики пытаются вернуть свои деньги. Истцы требуют $30 млн в качестве минимальной компенсации своих расходов. При этом в результате уже состоявшихся разбирательств Heartland пришлось выплатить более $148 млн в порядке урегулирования исков, поданных ее клиентами. Lexingtone и Beazley пришлось выплатить крупные страховки - $20 млн и $10 млн соответственно.

Страховые фирмы пытаются засудить вендора безопасности за инцидент у их общего клиента

Ответчик обвиняется в том, что не выполнил свои обязательства перед Heartland. Как утверждают истцы, Trustwave не смогла распознать кибератаку, случившуюся 24 июля 2007 г., когда хакер, произведя SQL-инъекцию, проник в инфраструктуру платежной системы. Эксперты Trustwave не смогли также выявить и вторую атаку, когда злоумышленники установили вредоносное ПО прямо на серверы Heartland.

Сертификация с нарушениями

Истцы также ссылаются на утверждения экспертов корпорации Visa, которые заявили, что Trustwave некорректно провела процедуру сертификации Heartland на предмет соответствия стандарту безопасности платежных карт PCS DSS. Только компании, прошедшие сертификацию на соответствие PCS DSS, имеют право работать с платежными картами.

В отчете Visa указывалось, что эксперты Trustwave, проводившие аудит, проигнорировали множественные нарушения норм кибербезопасности в инфраструктуре Heartland: отсутствие файерволла, использование заводских паролей, отсутствие надлежащей защиты системы хранения данных платежных карт, отсутствие уникальных идентификаторов для каждого пользователя системы и отсутствие регулярного мониторинга.

Все это прямо нарушало правила сертификации PCS DSS, но Trustwave все же присвоило Heartland статус соответствия стандарту. Впоследствии Visa запретила Heartland сотрудничать с Trustwave.

Все эти сведения страховые компании используют как аргументы, чтобы доказать виновность Trustwave в халатности.

Trustwave: иск неправомочен

Фирма Trustwave, со своей стороны, ответила встречным иском против страховщиков, требуя признать их претензии несостоятельными.

По утверждению представителей компании, Trustwave не занималась управлением безопасности Heartland, а только оказывала консалтинговые услуги и выдала сертификат соответствия PCI DSS. Сертификация, однако, не подразумевает, что инфраструктура Heartland неуязвима перед кибератаками. Со своей стороны Heartland не выдвигала никаких претензий к Trustwave.

Степень ответственности консультантов по кибербезопасности за инциденты, случившиеся у их клиентов, - это, безусловно, щекотливый вопрос, - считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - Вряд ли существует универсальный ответ на него, в каждой ситуации он будет разным. В случае с Heartland и Trustwave, по-видимому, речь больше идет о желании страховщиков компенсировать свои убытки, нежели о реальной ответственности за кибератаку.

Стоит отметить, что Trustwave уже не впервые оказывается в роли ответчика по искам о киберинцидентах. В 2014 г. банковский конгломерат безуспешно пытался засудить Trustwave по итогам взлома платежной инфраструктуры ритейлера Target. Иск был отклонен, поскольку оказалось, что Trustwave не имела никакого отношения к защите инфраструктуры Target.

Аналогичный иск к Trustwave был подан казино Affinity Gaming в 2016 г. Affinity в 2013 г. пострадало от хакерской атаки, для расследования и устранения последствий которой были привлечены эксперты Trustwave. Во время расследования произошла еще одна хакерская атака, хотя специалисты Trustwave утверждали, что системы Affinity теперь защищены. Иск был урегулирован во внесудебном порядке.

Другие новости на эту тему

Ученые из Йельского центра исследования рака в США обнаружили новый механизм возникновения редких наследственных форм рака. Оказалось, что злокачественные опухоли формируются из-за нарушения процессов восстановления поврежденной ДНК. Об этом сообщается в пресс-релизе на MedicalXpress.Исследователи изучили несколько синдромов, которые могут привести к раку...
Максим Ноготков банкрот Основатель розничной сети Связной Максим Ноготков признан банкротом. Об этом сообщило агентство Интерфакс со ссылкой на базу СПАРК-Интерфакс. Решение о банкротстве было принято Арбитражным судом Калужской области. Иск о признании Максима Ноготкова банкротом подал кипрский офшор Strafor Commercial...
Атомщики решили обезопаситься Предприятие Росатома Приборостроительный завод, располагающееся в закрытом городе Трехгорный Челябинской области, готово потратить 30,9 млн руб. на ПО для системы предотвращения утечек конфиденциальной информации. Именно эта сумма выставлена в качестве начальной цены контракта в объявленном конкурсе в электронной форме...
Международная группа астрономов обнаружила необычную планетную систему CoRoT-20, в которой находится коричневый карлик и газовый гигант, имеющие вытянутые орбиты. Коричневые карлики напоминают звезды, однако термоядерные реакции в их недрах незначительны и относительно быстро прекращаются. Об этом сообщается в пресс-релизе на Phys.org...
Геологи МГУ совместно с коллегами из ЮАР и Новосибирска изучили процессы взаимодействия древнейших на Земле блоков континентальной коры и нашли подтверждение участия в этом процессе богатых углекислым газом флюидов (жидкостей, нагретых выше точки кипения). Исследование опубликовано в журнале Gondwana Research. Пресс-релиз имеется в распоряжении Ленты.ру...
Заявление Брэда Смита Президент и главный юрист Microsoft Брэд Смит (Brad Smith) выступил с заявлением, что технологии распознавания лиц нуждаются в правительственном регулировании. Заявление было опубликовано в блоге компании. Смит пишет, что, как и любая технология, распознавание лиц может приносить и пользу, и вред...
Разработчик Pixel Visual Core будет работать на Facebook Facebook, владеющая одноименной и одной из крупнейших социальных сетей в мире, наняла бывшего работника Google Шахрияра Рабия (Shahriar Rabii) для помощи в разработке и налаживании производства собственных микропроцессоров...
За два месяца до анонса Согласно данным портала GizmoChina, ссылающегося на информацию от компании Sanfeng - китайского производителя защитных чехлов для мобильной техники, самая доступная по цене модель нового смартфона Apple iPhone, унаследует от нынешнего флагмана iPhone X характерную выемку в верхней части экрана, известную как монобровь...
ФАС обвиняет операторов Московское управление Федеральной антимонопольной службы (ФАС) России сообщило, что сотовые операторы Вымпелком (торговая марка Билайн), МТС и Мегафон нарушили закон О рекламе путем распространения спама с помощью SMS-сообщений. Как поясняет ФАС на своем сайте, жалобы на нежелательную рекламу поступили от самих абонентов - получателей спама...
Специалисты из Университета Ливерпуля (Великобритания) и Комитета по расследованию псевдонаучных утверждений в Италии выяснили, что следы крови на туринской плащанице не могли быть оставлены завернутым в нее телом. Считалось, что эта кровь принадлежала распятому Иисусу Христу и вытекла из ран на руках и ногах после смерти...