Как и многие другие компании, потерявшие данные, Anthem, ведущее коммерческое предприятие США по медицинскому страхованию, была вынуждена играть роль стороннего наблюдателя, пока суд рассматривает жалобы жертв кражи со взломом, о которой стало известно полтора года назад.

Тем временем дело близится к концу. Вечером в пятницу компания согласилась урегулировать ряд исков по поводу хищения данных 79 млн. ее клиентов. По условиям соглашения Anthem расстанется с $115 млн., которые пойдут, в основном, на оплату мониторинга кредитов для жертв утечки в течение двух лет. В комментарии на сайте компании также отмечено, что со стороны Anthem правонарушений не было и в результате инцидента никто не пострадал.

«Мы удовлетворены, что пришли к такому разрешению тяжбы и в состоянии предоставить дополнительные большие льготы тем, чьи данные были затронуты или могли оказаться таковыми в ходе кибератаки, – сказано в этой записи. – Отныне эти лица станут участниками соглашения об урегулировании группового иска».

Кроме кредитного мониторинга, соглашение предполагает, что Anthem будет в обязательном порядке придерживаться определенных правил ведения бизнеса, в частности, выделять конкретный объем средств на обеспечение информационной безопасности и регулярно обновлять системы информационной защиты. Ряд данных должен подвергаться шифрованию и архивированию, со строгим контролем доступа.

Согласно вышеупомянутой записи, $15 млн. от названной суммы будут розданы участникам соглашения в покрытие издержек, связанных с подачей исков. Те жертвы утечки, которые уже используют мониторинг кредитов, смогут получить компенсацию наличными, но в небольшом объеме – порядка $36, в некоторых случаях до $50.

В тот же день, в пятницу, окружной суд Калифорнии принял к рассмотрению предварительный вариант соглашения об урегулировании, поданный юристами, которые представляют интересы истцов, готовых пойти на мировую. Этот документ будет заслушан в суде после 17 августа; если текст утвердят, это будет самый накладный случай урегулирования в истории утечек.

О хакерской атаке на Anthem впервые стало известно в феврале 2015 года. Неизвестные злоумышленники проникли в сеть компании и получили доступ к персональным данным ее клиентов: именам, датам рождения, номерам социального страхования, информации о трудоустройстве и т.п. На тот момент Anthem сочла, что стала жертвой «очень хитроумной внешней кибератаки». К расследованию подключилось ФБР, были также приглашены специалисты из Mandiant.

В январе текущего года департамент страхования штата Калифорния опубликовал заключение, к которому пришли участники расследования: утечка в Anthem произошла по вине хакеров, спонсируемых иностранным государством. Эта кибератака имела далеко идущие последствия, их ощутили и другие страховые компании США в сфере медобслуживания (Caremore, UniCare, Amerigroup), а также филиалы Anthem в 26 штатах, в том числе в Джорджии, Калифорнии, Кентукки, Мэне и Висконсине.

Против Anthem было выдвинуто более 100 исков, которые впоследствии объединили в рамках одного дела. Истцам предстояло доказать, что Anthem «собрала конфиденциальную информацию 80 млн. человек в централизованном хранилище, не имеющем адекватной защиты».

Если суд одобрит текст мирового соглашения в предложенной редакции, компенсация жертвам в шесть раз превысит все суммы, выплаченные за последние годы в урегулирование аналогичных тяжб на территории США. Так, три месяца назад крупнейший ритейлер Home Depot, сети которого были взломаны в 2014 году, согласился уплатить $19,5 млн. в пользу 40 млн. пострадавших клиентов. Спустя год компания выплатила еще $27,25 млн. финансовым организациям, которых коснулась эта утечка. Другой крупный ритейлер, Target, переживший сложную атаку хакеров в 2013 году, компенсировал ущерб 41 млн. клиентам в размере $18,5 млн.

В качестве миниатюры использовано фото Тони Уэбстера (Tony Webster), выложенное на Flickr под лицензией Creative Commons.

Категории: Кибероборона, Хакеры