To trochę jak pytanie „Ile kosztuje samochód?” – wszystko zależy jaki. Właściwie powinno ono brzmieć: „Jakie straty generuje cyberwłamanie?”. I oczywiście odpowiedź będzie uzależniona od wielkości organizacji i rodzaju zdarzenia, a także od tego, jak oprócz strat bezpośrednich wyliczamy straty pośrednie, w tym wizerunkowe. Trudne do całkowitego oszacowania.
Niemniej w Stanach Zjednoczonych musieli wycenić straty – i wycenili… Dlatego w dzisiejszym poście zajmiemy się finansowymi skutkami włamań, ale też zwyczajnych błędów ludzkich.
SolarWinds
Właśnie podano do publicznej wiadomości, że SolarWinds, firma IT z siedzibą w Teksasie, zgodziła się zapłacić 26 milionów dolarów. Jest to wynik pozwu akcjonariuszy w związku z naruszeniem danych ujawnionym w 2020 roku.
Krótko przypomnijmy. Mowa o jednym z największych cyberataków w historii, prekursorze ataków „na łańcuch dostaw”. Powiązani z Rosją cyberprzestępcy włamali się do systemów SolarWinds w 2019 r., a być może nawet wcześniej. Hakerzy naruszyli zautomatyzowane środowisko kompilacji oprogramowania monitorującego Orion, a wiosną 2020 r. wypchnęli złośliwe aktualizacje Orion do tysięcy klientów SolarWinds. W drugiej fazie ataku przestępcy skoncentrowali się na około stu organizacjach, które otrzymały dodatkowe złośliwe oprogramowanie. Dotyczyło to organizacji zarówno prywatnych, jak i rządowych. Szczegółowo pisaliśmy o tym tutaj.
Naruszenie wyszło na jaw w grudniu 2020 r., a w styczniu 2021 r. inwestorzy SolarWinds złożyli pozew zbiorowy przeciwko spółce, niezadowoleni z wpływu ujawnienia włamania na wartość ich akcji. SolarWinds twierdzi, że osiągnął porozumienie z akcjonariuszami i jest gotowy zapłacić 26 milionów dolarów, w tym opłaty prawne. Jednak ugoda, która została autoryzowana i zaakceptowana przez ubezpieczycieli, nadal wymaga zatwierdzenia przez sąd.
„Proponowana ugoda rozwiązuje wszystkie roszczenia przeciwko Spółce i innym wymienionym pozwanym w związku z pozwem zbiorowym i będzie zawierać postanowienia, że nie stanowi przyznania się lub stwierdzenia jakiejkolwiek winy, odpowiedzialności lub wykroczenia jakiegokolwiek rodzaju przez Spółkę lub jakiegokolwiek pozwanego” – zadeklarował SolarWinds w oświadczeniu.
Nie są to oczywiście jedyne skutki finansowe włamania. Najnowszy raport finansowy spółki pokazuje, że wspomniany incydent kosztował ją do tej pory dziesiątki milionów dolarów, a spodziewa się ona dalszych znacznych wydatków związanych z naruszeniem. Wszystko to pomimo faktu, że niektóre z tych kosztów objęte były ubezpieczeniem. Firma przewiduje, że w 2022 r. jej łączne przychody wyniosą około 700 milionów dolarów.
Przypadek Facebooka, a właściwie Mety
Przy okazji omawiania newsów z amerykańskiej wokandy warto przypomnieć o ugodzie, na którą zgodził się Facebook.
W lutym tego roku obecnie przemianowany na Meta Platforms gigant social mediów zgodził się zapłacić 90 milionów dolarów, aby rozstrzygnąć wreszcie dziesięcioletni spór prawny. Oskarżenie dotyczyło oczywiście śledzenia użytkowników online nawet po wylogowaniu się z sieci społecznościowej.
Jest to ten przypadek, gdzie nie włamanie czy inne działanie osób trzecich, ale wadliwie zaprojektowana funkcjonalność spowodowała problemy z prywatnością i w konsekwencji pojawienie się roszczeń.
W lutym rzecznik Mety Drew Pusateri mówił: „Osiągnięcie porozumienia w tej sprawie, która ma ponad dziesięć lat, leży w najlepszym interesie naszej społeczności i naszych akcjonariuszy i cieszymy się, że możemy rozwiązać ten problem”.
W pozwie twierdzono, że gigant mediów społecznościowych naruszył wytyczne dotyczące prywatności, śledząc wizyty użytkowników na zewnętrznych stronach internetowych zawierających przyciski „Lubię to” Facebooka, aby lepiej targetować reklamy. Według dokumentów sądowych śledzenie było w tamtym czasie sprzeczne z zapewnieniami portalu. Kwestia podniesiona w pozwie została już technicznie rozwiązana i według sieci społecznościowej nie ma wpływu na użytkowników. Ugoda obligowała firmę Meta do wpłacenia 90 milionów dolarów na fundusz roszczeń i usunięcia wszystkich danych, które, jak twierdził pozew, zostały niesłusznie zebrane.