У ході трирічного розслідування витоку даних було винесено остаточний вердикт.

Завершилося багатомісячне розслідування кіберінциденту, який стався в травні 2020 року з компанією Blackbaud, одним з провідних провайдерів хмарних обчислень. Угоду про виплату було досягнуто між компанією та генеральними прокурорами 49 штатів США на суму $49,5 млн.

Компанія Blackbaud спеціалізується на наданні програмних рішень хмарних обчислень для некомерційних організацій: шкіл, лікарень, благодійних організацій та зокрема на управлінні базами даних донорів.

Витік даних, що стався в липні 2020 року , стосувався вкрай чутливих даних, що належать більш ніж 13 000 бізнес-клієнтам Blackbaud та їх замовникам зі США, Канади, Великобританії та Нідерландів. Під час атаки зловмисники викрали незашифровану банківську інформацію, дані для входу та номери соціального страхування. Після твердження зловмисників про те, що всі вкрадені дані було знищено, Blackbaud виплатила викуп.

Угода у розмірі $49,5 млн була спрямована на врегулювання звинувачень у порушенні компанією законів про захист споживачів, повідомлення про порушення та Акт про мобільність та підзвітність медичного страхування (Health Insurance Portability and Accountability ActHIPAA).

В рамках врегулювання, Blackbaud зобов’язується :

• Розробити та підтримувати план реагування на інциденти безпеки;
• Забезпечити відповідну допомогу своїм клієнтам у разі порушення безпеки;
• Повідомляти про інциденти безпеки своєму виконавчому директору та раді директорів, а також покращити навчання своїх співробітників;
• Впровадити гарантії безпеки особистої інформації, включаючи повне шифрування бази даних та моніторинг темної мережі;
• Посилити захист через сегментацію мережі, керування патчами, системи виявлення вторгнень, файрволи, контроль доступу, ведення журналів та моніторинг, а також проведення тестування на проникнення;
• Дозволити стороннім організаціям оцінювати відповідність компанії умовам угоди протягом 7 років.

У звіті за третій квартал 2020 року Blackbaud розкрила, що мінімум 43 генеральних прокурори штатів та округу Колумбія розслідували інцидент. До листопада 2020 року було подано 23 позови із пропозицією організувати колективні позови споживачів у зв’язку з інцидентом безпеки у США та Канаді.

Компанія також погодилася виплатити $3 млн. за врегулювання звинувачень, пред’явлених Комісією з цінних паперів та бірж ( SEC ), у тому, що фірма не розкрила повного обсягу наслідків кібератаки 2020 року. Як результат, у звіті SEC було опущено важливі деталі про повний обсяг порушення, а також було зменшено потенційні ризики, пов’язані з доступом зловмисників до чутливої ​​інформації донорів, що було описано як гіпотетичний ризик.