Штраф компании по генетическому тестированию за утечку данных

Компания 23andMe оштрафована за утечку данных пользователей. Наказание за утечку данных назначено британским информационным регулятором, так как в ходе инцидента была скомпрометирована информация граждан Великобритании. Штраф за утечку данных выписан на фоне банкротства и продажи 23andMe.

Британское управление комиссара по информации (ICO) в понедельник, 16 июня, оштрафовало американскую биотехнологическую компанию 23andMe на 2,31 млн фунтов стерлингов (примерно 3,1 млн долларов США). 

Штраф назначен в результате масштабной утечки данных, случившейся в 2023 году. В результате инцидента злоумышленники завладели персональными данными около 6,9 млн пользователей, включая примерно 155 тыс. граждан Великобритании. Известно, что в октябре 2023 г. хакеры запустили атаку с использованием подстановки учетных данных (credential stuffing). Используя имена пользователей и пароли, полученные в результате других инцидентов, не связанных между собой, киберпреступники смогли получить доступ примерно к 14 тысячам учетных записей сервиса 23andMe. Используя функцию «Родственники по ДНК», хакеры получили информацию о 5,5 млн профилей. Также они завладели данными 1,4 млн участников программы «Семейное древо».

ICO заявило, что 23andMe не реализовала базовые меры безопасности, в результате чего уязвимой для кибератак оказалась конфиденциальная информация пользователей, включая отчеты о состоянии здоровья, сведения о расовой и этнической идентичности, изображения профилей и семейные истории.

Хотя в ходе инцидента не были скомпрометированы данные ДНК-тестирования, утекшая информация, согласно законодательству Великобритании, включала данные особой категории.

«Как отметил один из пострадавших: если такая информация становится доступной, ее нельзя изменить или перевыпустить, в отличие от пароля или номера кредитной карты», — резюмировал комиссар по информации Джон Эдвардс (John Edwards).

Расследование ICO, проведенное параллельно с Управлением комиссара по вопросам конфиденциальности Канады (OPC), показало, что 23andMe нарушила закон Великобритании о защите данных, не внедрив многофакторную аутентификацию (MFA), реализуя слабую политику парольной защиты и недостаточно контролируя загрузку необработанных генетических данных.

Штраф наложен в то время, когда компания 23andMe переживает процедуру банкротства и готовится к продаже своего бизнеса. Недавно стало известно, что активы компании за 305 млн долларов готова выкупить некоммерческая биотехнологическая организация TTAM Research Institute во главе с бывшим гендиректором 23andMe Энн Войчицки (Anne Wojcicki). Как заявляют представители 23andMe, сделка с TTAM включает обязательства по укреплению конфиденциальности и защиты данных, поднятые регулирующими органами Великобритании и Канады.

Между тем, 23andMe утверждает, что к концу 2024 году реализовала все меры безопасности, которые были рекомендованы со стороны ICO и OPC.

ICO заявила, что штраф, выписанный компании 23andMe, должен стать сигналом для всему сектору. 

«Это решение подчеркивает необходимость надежных процессов аутентификации и проверки данных, — добавил Эдвардс. — Организации, обрабатывающие конфиденциальные данные, должны делать больше, чем просто утвержденный минимум мероприятий для их защиты».

Поскольку стандарты безопасности данных ужесточаются во всем мире, а доверие потребителей продолжает падать из-за череды громких инцидентов, компании, занимающиеся персональным генетическим тестированием, могут столкнуться с более пристальным вниманием к тому, как они управляют данными на стыке вопросов науки, коммерциализации и конфиденциальности.

Напомним, что осенью 2024 г. компания 23andMe сообщила о том, что урегулировала требования по судебным искам в результате утечки данных. Компания заявила, что выплатит пострадавшим пользователям в общей сложности 30 млн долларов.

Источник: Business Matters