От ИБ-компании требуют $30 млн за то, что плохо защищала своих клиентов 10 лет назад

Безопасность Бизнес ИТ в банках
мобильная версия
, Текст: Роман Георгиев

Две фирмы, страховавшие крупную процессинговую компанию, обвинили аудитора безопасности Trustwave в халатности. Они пытаются через суд компенсировать свои потери от крупного киберинцидента, случившегося в 2008 г. В Trustwaveиск считают безосновательным.


Попытка вернуть деньги

Две зарубежные страховые фирмы подали в суд на известного вендора средств кибербезопасности Trustwave. По мнению истцов, Trustwave несет ответственность за то, что ее продукты не смогли обнаружить и остановить вредоносное ПО, из-за которого произошла утечка данных у их общего клиента. Представители Trustwave утверждают, что у иска нет судебных перспектив.

Истцы — фирмы Lexington Insurance Company и Beazley Insurance Company — оказывали услуги страхования платежной компании Heartland Payment Systems, одному из ведущих игроков рынка.

В 2009 г. компания Heartland признала факт крупного киберинцидента: в 2008 г. злоумышленникам удалось похитить данные более чем 100 млн платежных карт клиентов компании.

Страховщики пытаются вернуть свои деньги. Истцы требуют $30 млн в качестве минимальной компенсации своих расходов. При этом в результате уже состоявшихся разбирательств Heartland пришлось выплатить более $148 млн в порядке урегулирования исков, поданных ее клиентами. Lexingtone и Beazley пришлось выплатить крупные страховки — $20 млн и $10 млн соответственно.

trust600.jpg
Страховые фирмы пытаются засудить вендора безопасности за инцидент у их общего клиента

Ответчик обвиняется в том, что не выполнил свои обязательства перед Heartland. Как утверждают истцы, Trustwave не смогла распознать кибератаку, случившуюся 24 июля 2007 г., когда хакер, произведя SQL-инъекцию, проник в инфраструктуру платежной системы. Эксперты Trustwave не смогли также выявить и вторую атаку, когда злоумышленники установили вредоносное ПО прямо на серверы Heartland.

Сертификация с нарушениями

Истцы также ссылаются на утверждения экспертов корпорации Visa, которые заявили, что Trustwave некорректно провела процедуру сертификации Heartland на предмет соответствия стандарту безопасности платежных карт PCS DSS. Только компании, прошедшие сертификацию на соответствие PCS DSS, имеют право работать с платежными картами.

В отчете Visa указывалось, что эксперты Trustwave, проводившие аудит, проигнорировали множественные нарушения норм кибербезопасности в инфраструктуре Heartland: отсутствие файерволла, использование «заводских» паролей, отсутствие надлежащей защиты системы хранения данных платежных карт, отсутствие уникальных идентификаторов для каждого пользователя системы и отсутствие регулярного мониторинга.

Все это прямо нарушало правила сертификации PCS DSS, но Trustwave все же присвоило Heartland статус соответствия стандарту. Впоследствии Visa запретила Heartland сотрудничать с Trustwave.

Все эти сведения страховые компании используют как аргументы, чтобы доказать виновность Trustwave в халатности.

Trustwave: иск неправомочен

Фирма Trustwave, со своей стороны, ответила встречным иском против страховщиков, требуя признать их претензии несостоятельными.

По утверждению представителей компании, Trustwave не занималась управлением безопасности Heartland, а только оказывала консалтинговые услуги и выдала сертификат соответствия PCI DSS. Сертификация, однако, не подразумевает, что инфраструктура Heartland неуязвима перед кибератаками. Со своей стороны Heartland не выдвигала никаких претензий к Trustwave.

«Степень ответственности консультантов по кибербезопасности за инциденты, случившиеся у их клиентов, — это, безусловно, щекотливый вопрос, — считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Вряд ли существует "универсальный" ответ на него, в каждой ситуации он будет разным. В случае с Heartland и Trustwave, по-видимому, речь больше идет о желании страховщиков компенсировать свои убытки, нежели о реальной ответственности за кибератаку».

Стоит отметить, что Trustwave уже не впервые оказывается в роли ответчика по искам о киберинцидентах. В 2014 г. банковский конгломерат безуспешно пытался засудить Trustwave по итогам взлома платежной инфраструктуры ритейлера Target. Иск был отклонен, поскольку оказалось, что Trustwave не имела никакого отношения к защите инфраструктуры Target.

Аналогичный иск к Trustwave был подан казино Affinity Gaming в 2016 г. Affinity в 2013 г. пострадало от хакерской атаки, для расследования и устранения последствий которой были привлечены эксперты Trustwave. Во время расследования произошла еще одна хакерская атака, хотя специалисты Trustwave утверждали, что системы Affinity теперь защищены. Иск был урегулирован во внесудебном порядке.