Į tyrėjų akiratį patekęs atvejis – tai 2013 metais įvykdyta kibernetinė ataka, per kurią buvo pažeistas daugiau nei 41 mln. įmonės klientų mokėjimo kortelių paskyrų saugumas.
Kaip rašo usatoday.com, neseniai buvo paskelbta apie susitarimą, pagal kurį 47 valstijose ir Kolumbijos apygardoje su mokėjimo kortelėmis dirbančioms ir informacijos apie klientus konfidencialumą turinčioms užtikrinti įmonėms bus pradėti taikyti nauji pramonės standartai.
Tiriant duomenų nutekinimo atvejį buvo nustatyta, kad 2013 m. lapkritį kibernetinėje erdvėje veikę įsilaužėliai pasinaudojo iš trečiosios šalies tiekėjo pavogtais duomenimis ir prisijungė prie bendrovės „Target“ kompiuterio.
Dėl tam tikro „Target“ sistemos pažeidžiamumo įsilaužėliai sugebėjo pasiekti klientų aptarnavimo skyriaus duomenų bazę, įdiegti į sistemą kenkimo programą ir nuskaityti klientų vardus, pavardes, telefono numerius, el. pašto adresus, mokėjimo kortelių numerius, kredito kortelių patvirtinimo kodus ir kitus neskelbtinus duomenis.
Per incidentą buvo nutekinta ne tik 41 mln. klientų mokėjimo kortelių paskyrų informacija, bet ir daugiau nei 60 mln. „Target“ klientų kontaktinė informacija.
„Įvairių sektorių įmonės turi labai atsakingai laikytis griežtų duomenų saugumo strategijų ir vykdyti visas būtinąsias procedūras. Tuo nesirūpinant programišiams gali tapti pasiekiama neskelbtina klientų informacija“, – teigė Konektikuto generalinis prokuroras George‘as Jepsenas, kartu su kolege iš Ilinojaus Lisa Madigan vadovavęs minėtam 2013 metų atvejo tyrimui.
Klientams, kurių duomenys buvo nutekinti, prekybos tinklas „Target“ buvo pasiūlęs nemokamas kredito stebėjimo paslaugas. Pagal 2015 metais priimtą taikų sprendimą, paskelbtą po 10 mln. JAV dolerių (maždaug 8,9 mln. eurų) atsiėjusio kolektyvinio ieškinio nagrinėjimo, įmonė taip pat sutiko sumokėti net 10 tūkst. JAV dolerių (maždaug 8,9 tūkst. eurų) klientams, kurie dėl duomenų nutekinimo akivaizdžiai patyrė kokių nors nuostolių.
Kaip teigia įmonės „Target“ atstovai, su itin nesmagiu atveju susiję ieškiniai buvo peržiūrimi kartu su valstijos teisėsaugos institucijose dirbančiais tyrėjais.
„Džiaugiamės, kad pavyko rasti visoms susijusioms šalims tinkamą sprendimą“, – teigiama rašytiniame Mineapolyje įkurtos įmonės pranešime.
Jame taip pat nurodoma, kad pagal susitarimą tenkanti suma jau išskaičiuota iš anksčiau paviešinto rezervo pagal įsipareigojimus tenkančioms išlaidoms padengti.
Pagal pasiekto susitarimo sąlygas „Target“ įsipareigojo:
sukurti, įdiegti ir vykdyti efektyvią informacijos apsaugos programą;
įdarbinti už tą programą atsakingą specialistą;
pasamdyti nepriklausomą ekspertą, kuris reguliariai vertintų saugumą;
įmonės tinkle naudoti ir prižiūrėti saugumą užtikrinančią programinę įrangą;
kortelių turėtojų duomenis atskirti nuo likusios tinklo dalies;
sugriežtinti prieigos prie tinklo sąlygas, pavyzdžiui, taikyti slaptažodžių keitimo strategijas ir vykdyti dviejų dalių identifikavimo procesą.
Pagal susitarimą atitinkamos sumos iš įmonės „Target“ mokėjimo bus skirtos teisininkų paslaugoms ir kitoms su tyrimu susijusioms išlaidoms apmokėti. Jos taip pat galės būti naudojamos vartotojų apsaugos įstatymų įtvirtinimo fondui papildyti, vartotojų švietimui skatinti ir kitais tikslais.
