비영리단체에게 클라우드 제공해주는 blackbaud의 유출 - 보안기사 읽기 4주차 6일

blackbaud 라는 기업에서 랜섬 data breach 사건에 대해 법무장관과 49억원의 합의를 했습니다.

이 기업은 클라우드 비용을 내기가 어려운 자선단체, 학교, 병원, 비-이익단체 에게

클라우드 컴퓨팅, 데이터 센터를 제공해주면서 여기에 정보를 저장하고 우리가 관리해주겠다하는 사업입니다.

 

 

정보를 모아서 그걸로 굴리는 기업인데 

어떻게 돈을 모아서 컴퓨팅 서비스를 제공하고, 비즈니스를 굴릴까 궁금하긴 합니다.

 

 

U.S, 캐나다, 네델란드 - 13000곳의 단체에서 nonprofit단체라도 privacy 정보가 흘러나왔으니 

얼마나 많은 고객의 정보가 유출되었을까요

 

social number는 물론이고, 로그인 creds, 뱅킹정보, 경제적인 소득 자료까지 있었습니다.

 

 

 

관련 변호사는

보안에 대해서 제대로안하고 잘못케어하고 정당화시키면 안된다고 지적했습니다.

개인정보에 대해 민감하게 다루고, 제대로 처리 해야한다는 겁니다.

 

1. breach 대응 플랜을 마련하고 실행해야한다.

2. 사건에 대해 고객에게 적절한 도움을 준다.

3. 사건 리포트 작성은 물론, 직원 교육을 강화한다.

4. 개인정보 safeguards 고용 강화하고, 데이터베이스 암호화, 다크웹 breach 모니터링을 한다.

5. 네트워크 분리를 해야하고, 관리 강화, firewall 같은 침투관리, access 관리한다. pentesting 을 주기적으로 해야한다.

6. 7년동안 컴플라이언스에대해 제 3자 평가한다. 

 

 

 

 

2020년에도 한번 3억의 합의를 한 사건이 있었습니다.