[调研] 数据泄露诉讼令企业很受伤

美国BakerHostetler律师事务所表示，对遭受数据泄露的公司提起诉讼变得越来越普遍，甚至受影响人数较少的事件也更频繁地惹上了诉讼。

BakerHostetler于4月底发布了《2023年数据安全事件响应报告》，报告呈现了该公司2022年调查1100多起网络安全事件所得来的数据。 

报告显示，45%的事件是网络入侵，其次是商务电邮入侵（30%）和意外数据披露（12%）。在初步访问之后，攻击者最常采取的操作是勒索软件部署（28%）、数据盗窃（24%）、电子邮件访问（21%）和恶意软件安装（13%）。 

今年早些时候，一家区块链数据公司报告称，2022年勒索软件团伙诈取的资金总额（4.57亿美元）比前一年（7.66亿美元）大幅下降。 

然而，BakerHostetler收集的数据表明，相比2021年，2022年里确实支付了赎金的勒索软件受害者支付的数额更高。就该公司所看到的情况而言，2022年里最大一笔赎金要求是9000万美元（2021年是6000万美元），2022年支付的最大一笔赎金超过了800万美元（2021年为550万美元）。去年支付的平均赎金金额约为60万美元，相比2021年的51.1万美元略有上升。 

取证调查的费用也上涨了。20大网络入侵事件的平均费用上涨了24%，从2021年的44.5万美元。上涨到2022年的55万美元。 

图：取证调查平均费用

除了赎金要求和取证费用上涨，BakerHostetler发现，受影响企业通告了数据泄露事实的事件中，引发至少一起诉讼的比例上升了。具体而言，2018年394起事件引发4起诉讼，而2022年494起事件引发42起诉讼。 

去年提起的诉讼中，有四起是针对受影响人数不到1000人的事件，14起针对受影响人数在1000至10万人的事件。 

另一类诉讼也有所增加：隐私相关的集体诉讼。BakerHostetler注意到，2022年8月以来，有50多起诉讼是针对医院系统提起的，据称院方在缺乏用户知情同意的情况下，通过第三方网站分析工具共享了患者身份和在线活动。

这家律师事务所表示，目前参与辩护的隐私或数据安全相关诉讼数量超过200起。 

BakerHostetler的报告还关注了事件响应趋势、攻击技术、特定行业和领域的趋势、隐私和数据收集法案、数字资产，以及交易数据隐私与安全。  

BakerHostetler《2023年数据安全事件响应报告》
https://www.bakerlaw.com/webfiles/2023%20DSIR%20Report.pdf

参考阅读