Nhà bảo hiểm bác bỏ trách nhiệm về 3.3 triệu USD rò rỉ dữ liệu

Insurerrefutes liability on $3.3 million data breach

07 June 2010

Theo:http://www.infosecurity-magazine.com/view/10007/insurer-refutes-liability-on-33-million-data-breach/

Bài đượcđưa lên Internet ngày: 07/06/2010

Lờingười dịch: Việc mất dữ liệu của các kháchhàng nhưng không biết đổ trách nhiệm vào ai là một vấnđề đang nóng tại Mỹ hiện nay.

Một nhàbảo hiểm Mỹ dường như đang tiến hành một hành độngtích cực để bác bỏ trách nhiệm pháp lý về một vụrò rỉ dữ liệu mà Đại học Utah đã tìm cách để lấylại 3.3 triệu USD. Trường hợp này được xem với sựquan tâm của các công ty bảo hiểm trên thế giới vì nócó thể thiết lập một tiền lệ quan trọng về bảohiểm mất mát/rò rỉ dữ liệu, mà nhìn bề ngoài có vẻđược đề cập tới trong nhiều chính sách bảo hiểmcủa các doanh nghiệp.

Hãng bảohiểm tai nạn Colorado Casualty Insurance Co. đã đệ trìnhmột vụ kiến tại Utah kêu rằng không có trách nhiệmpháp lý đối với việc hoàn lại 3.3 triệu USD cho đạihọc này là cái giá có liên quan tới một rò rỉ dữliệu năm 2008 đã gây ra bởi một nhà cung cấp dịch vụlà bên thứ 3.

Nói về vụkiện thiết lập tiền lệ này, Computerworld newswire lưu ýrằng 9 trang khiếu nại - mà tìm kiếm một phán xét tửtòa - “đưa ra ít giải thích như vì sao một cách chínhxác nhà bảo hiểm này tin tưởng không có trách nhiệmphải thanh toán cho sự rò rỉ có liên quan tới giá thànhđược tìm ra bởi đại học này”. Vào tháng 06/2008, Đạihọc Y Utah đã lưu ý về 2.2 triệu bệnh nhân và nhữngngười bảo lãnh về vụ trộm các băng từ sao lưu chứacác dữ liệu thanh toán.

Các dữliệu bị mất trong vụ này đã ảnh hưởng tới mỗingười được chữa trị tại trung tâm ở Calt Lake Cityqua 16 năm trước, bao gồm các tên và thông tin nhân khẩuhọc có liên quan, các mã chuẩn đoán và các số an ninhxã hội với một số lượng lớn các cá nhân.

Đại họcnày nói nó đã gửi một bức thư thông báo cho tất cảcác cá nhân bị ảnh hưởng, đã thiết lập một đườngdây hỗ trợ miễn phí và đã đưa ra các dịch vụ giámsát tín dụng tự do 1 năm và xác định bảo hiểm trộmcắp cho 1.3 triệu cá nhân bị ảnh hưởng.

AUS insurer appears to be taking pro-active action to refute liabilityon a data breach that the University of Utah has been seeking torecover $3.3 million on. The case is being watched with interest bythe world's insurance companies as it could set an importantprecedent on data breach/losses insurance, which is ostensiblycovered in many business insurance policies.

TheColoradoCasualty Insurance Co. has filed a lawsuit in Utah claiming thatit is not liable for reimbursing the university for $3.3 million incosts related to a 2008 data breach caused by a third-party serviceprovider.

Reportingon the precedent-setting suit, the Computerworldnewswire notes that the nine-page complaint – which seeks adeclaratory judgement f-rom the court – "offers littleexplanation as to why exactly the insurer believes it is notobligated to pay the breach related costs sought by the university."

InJune 2008, the Universityof Utah Hospitals & Clinics notified around 2.2 millionpatients and guarantors of the theft of backup tapes containingbilling data.

Thedata lost in breach, which affected everyone treated at the Salt LakeCity-based centre over the preceding 16 years, included names andrelated demographic information, diagnostic codes and social securitynumbers for a large number of individuals.

Theuniversity says it sent a letter of notification to all affectedindividuals, established a toll-free support line and offered ayear's free credit monitoring services and identity theft insurancefor the 1.3 million individuals affected.

Infosecuritylưu ý rằng các băng đã bị ăn cắp tử ô tô cá nhâncủa một lái xe tại Perpetual Storage, một công ty địaphương mà đã lưu trữ các băng của đại học này trongmột căn hầm.

Khi đó,đại học này đã nói rằng người lái xe đã vi phạmcác giao thức của công ty bằng việc không sử dụng mộthầm của một công ty an ninh và để các băng đó trong ôtô qua đêm thay vì phân phối chúng vào hầm. Mặc dù cácđĩa đã được phục hồi một thời gian ngắn sau đó,thì đại học này nói vẫn đã phải chi hơn 3.3 triệuUSD để giải quyết các vấn đề.

Computerworldnewswire trích dẫn lời của Christopher Nelson, một ngườiphát ngôn của đại học khi nói rằng đại học này cóthể sẽ “rất thất vọng” nếu thẩm phán phán quyếtcó lợi cho khiếu nại của công ty bảo hiểm.

Trong trườnghợp đó, ông nói, đại học sẽ xem xét tới những conđường khác, mà có thể đệ trình một vụ kiện chốnglại Perpetual hoặc đại lý bảo hiểm của nó, để phụchồi lại số tiền này.

Infosecuritynotes that the billing tapes were stolen f-rom the personal car of adriver at Perpetual Storage, a local company that stored theuniversity's tapes in an off-site vault.

Atthe time, the university said that the driver violated companyprotocols by not using a secure company van and left the tapes in hiscar overnight instead of delivering them to the vault. Although thedisks were recovered a short time later, the university says it stillspent more than $3.3 million on remediating the problems.

TheComputerworld newswire quotes Christopher Nelson, a universityspokesperson as saying that the university would be "verydisappointed" if a judge ruled in favour of the insurancecompany's complaint.

Inthat case, he says, the university will consider other avenues, whichcould include filing a lawsuit against Perpetual or its insuranceagent, to recover the money.

Dịch tàiliệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com