Blackbaud, fornitore di servizi di cloud computing, ha raggiunto un accordo da 49,5 milioni di dollari con i procuratori generali di 49 stati degli Stati Uniti per risolvere unโindagine multi-statale relativa a un attacco ransomware avvenuto nel maggio 2020 e alla conseguente violazione dei dati.
Il contesto dellโazienda e la violazione
Blackbaud รจ un fornitore leader di soluzioni software rivolte a organizzazioni no profit, come enti di beneficenza, scuole e agenzie sanitarie. Si specializza nella gestione e nellโinterazione con i donatori e nella gestione dei dati dei propri clienti. Questi dati comprendono una vasta gamma di informazioni sensibili, come dettagli demografici, numeri di previdenza sociale, numeri di patente di guida, registrazioni finanziarie, dati sullโoccupazione, informazioni sulla ricchezza, cronologie delle donazioni e informazioni sanitarie protette.
Nella violazione rivelata da Blackbaud nel luglio 2020, i dati altamente sensibili di oltre 13.000 clienti aziendali di Blackbaud e dei loro clienti provenienti da Stati Uniti, Canada, Regno Unito e Paesi Bassi sono stati compromessi, colpendo milioni di individui. Gli aggressori hanno rubato informazioni bancarie non crittografate dei clienti, credenziali di accesso e numeri di previdenza sociale. Blackbaud ha acconsentito alla richiesta di riscatto degli aggressori dopo essere stata informata che tutti i dati rubati erano stati distrutti.
Dettagli dellโaccordo
Lโaccordo da 49,5 milioni di dollari affronta le accuse secondo cui Blackbaud avrebbe violato le leggi sulla protezione dei consumatori, le normative sulla notifica delle violazioni e lโHealth Insurance Portability and Accountability Act (HIPAA). Come parte dellโaccordo, Blackbaud dovrร anche:
- Implementare e mantenere un piano di risposta alle violazioni.
- Fornire assistenza adeguata ai suoi clienti in caso di violazione.
- Segnalare incidenti di sicurezza al suo CEO e consiglio di amministrazione e fornire una formazione avanzata ai dipendenti.
- Implementare salvaguardie e controlli per le informazioni personali che richiedono una crittografia totale del database e il monitoraggio del dark web.
- Migliorare le difese attraverso la segmentazione della rete, la gestione delle patch, il rilevamento delle intrusioni, i firewall, i controlli di accesso, la registrazione e il monitoraggio e i test di penetrazione.
- Consentire valutazioni di terze parti sulla sua conformitร allโaccordo per sette anni.