Страховые компании подали в суд на поставщика ИБ-услуг

Истцы хотят вернуть 30 млн долларов, выплаченных по обязательствам компании, который пострадал от хакерской атаки 10 лет назад. Ответчик подал встречный иск.

В конце июня 2018 года в США две страховые компании: Lexington и Beazley – подали гражданский иск против компании Trustwave, которая оказывает ИБ-услуги. Ответчика обвиняют в халатности, что помешала вовремя обнаружить вредоносную инъекцию и подозрительную активность в системе крупного процессингового центра Heartland. Речь идет об инциденте 10-летней давности.

В 2009 году хакеры провели серию атак на системы Heartland. Только в США услугами провайдера в тот момент пользовались четверть миллиона компаний. В результате инцидента риску подверглись данные минимум 100 млн банковских карт. Атака получила известность как самая масштабная «кража личностей» в новейшей истории США. Часть данных позже использовали для мошенничества. Убытки Heartland составили 148 млн долларов.

Ответственность Heartland была застрахована: Lexington выплатила по обязательствам самому процессинговому центру 20 млн долларов, а Beazley потратила 10 млн на урегулирования исков по страховым полисам клиентов. Теперь компании подали в суд, чтобы возместить суммы страховых выплат и другие издержки.

Trustwave проводила ежемесячное сканирование Heartland на наличие уязвимостей в течение двух лет перед инцидентом. В совместном иске страховые компании утверждают: эксперты ИБ-фирмы подтвердили соответствие требованиям стандарта безопасности данных платежных карт PCI DSS в тот момент, когда хакеры уже «заразили» систему Heartland инъекцией, которую позже использовали для атаки на процессингового гиганта.

Утверждения страховщики подкрепили выводами комиссии Visa, которая при расследовании сразу после инцидента насчитала восемь нарушений правил PCI DSS, несмотря на чистые отчеты Trustwave. В 2010 году процессинговый центр согласился перевести 100 млн долларов в фонд, созданный для возмещения ущерба платежными системами Visa, MasterCard и AmEx.

Исковые требования страховых компаний в Trustwave не признают и считают претензии безосновательными. Более того, компания подала встречный иск против Lexington и Beazley, где утверждает, что аудит не означает защиту от взлома.

Trustwave заявила, что предоставила Heartland услуги по оценке соответствия стандарту безопасности PCI DSS. Однако оценка, как ясно указано в контракте, никоим образом не гарантирует, что компания-заказчик уже не пострадала или в будущем не пострадает от взломов и других инцидентов безопасности.

Во встречном иске Trustwave указала, что фирму наняли для того, чтобы оценить, а не управлять информационной безопасностью Heartland. А сам процессинговый центр никогда не обвинял Trustwave в утечке и официально претензий не предъявлял.

«Меру вины Trustwave с точки зрения закона определит суд. С точки зрения информационной безопасности, выделяются минимум два обстоятельства. Первое – уровень ответственности. У разработчика, который поставляет ПО и, может быть, еще обучает заказчика, уровень ответственности будет ниже, чем у компании, которая предоставляет услуги ИБ-аудита, проверки на соответствие требованиям стандартов, того же PCI DSS, – говорит ведущий аналитик «СёрчИнформ» Алексей Парфентьев. – Второе обстоятельство связано с тем, что сам по себе аудит ИБ-процессов, которым занимается Trustwave, – это вторичная мера борьбы с утечками. Первичная – укрепить защиту изнутри. И здесь ответственность в первую очередь несет компания, которая имеет дело с чувствительными данными».