Công ty đã chi gần 1,4 tỷ đô la cho các chi phí khắc phục hậu quả cũng như đại tu chương trình bảo mật thông tin của mình sau vụ vi phạm dữ liệu lớn năm 2017.
Hai năm sau vụ vi phạm dữ liệu bắt đầu vào ngày 13 tháng 5 năm 2017, công ty đã phát hiện và bắt đầu các biện pháp khắc phục vào ngày 29 tháng 7 năm 2017. Kể từ đó, các chi phí pháp lý và những cuộc điều tra đã không ngừng bòn rút lợi nhuận của công ty.
Công ty có trụ sở tại Atlanta này đã công bố báo cáo tài chính trong quý đầu tiên kết thúc vào ngày 31/3/2019. Công ty đã báo cáo khoản lỗ 555,9 triệu đô la, trong khi quý 1 năm 2018, công ty đã báo cáo thu nhập ròng 90,9 triệu đô la. Doanh thu quý của Equifax đạt 846,1 triệu đô la, giảm 2% so với cùng kỳ năm trước.
Theo phân tích dữ liệu từ Reuters, doanh thu thực tế chỉ thấp hơn khoảng 1% so với doanh thu kỳ vọng của các chuyên gia (852,9 triệu đô la). Đồng thời lãi cơ bản trên cổ phiếu (earning per share) chỉ đạt mức 1,20 đô la, dưới mức kỳ vọng 1,23 đô la của các nhà phân tích.
Vụ vi phạm đã ảnh hưởng đến một nửa dân số Mỹ
Vi phạm dữ liệu của Equifax đã dẫn đến việc lộ dữ liệu cá nhân của 148 triệu cá nhân ở Hoa Kỳ, tương đương gần một nửa tổng dân số Hoa Kỳ. Vi phạm cũng làm lộ thông tin của 15 triệu công dân Hoa Kỳ và khoảng 20.000 người Canada. Vi phạm đã dẫn đến các cuộc điều tra của Quốc hội, các cuộc điều tra của các cơ quan về quyền riêng tư ở Hoa Kỳ và Canada, và hàng chục vụ kiện và điều tra chính thức của luật sư liên bang. Nó cũng dẫn đến sự ra đi của giám đốc điều hành của công ty, cũng như hai nhân viên an ninh thông tin hàng đầu.
Một báo cáo của House về vi phạm được công bố vào tháng 12 năm ngoái đã kết luận rằng vi phạm "hoàn toàn có thể ngăn chặn được". Trong khi đó, một báo cáo của Thượng viện từ tháng trước đã kết luận rằng những phản ứng khi vi phạm xảy ra là "không thỏa đáng và bị cản trở bởi sự lơ là của đội ngũ an ninh mạng của Equifax"
Một báo cáo của Văn phòng Trách nhiệm Chính phủ Hoa Kỳ (GAO - Government Accountability Office) công bố vào tháng 9 năm ngoái về vụ vi phạm 76 ngày cho biết: những kẻ tấn công đã dần lấy dữ liệu từ 51 cơ sở dữ liệu, đồng thời xác định 5 yếu tố chính góp phần vào vi phạm. Các yếu tố bao gồm nhận dạng, phát hiện, phân đoạn và quản trị dữ liệu, cũng như thất bại trong việc yêu cầu cơ sở dữ liệu giới hạn tỷ lệ. GAO cho biết: nếu có bất kỳ một trong những yếu tố đó được xử lý tốt hơn thì vi phạm có thể đã không xảy ra.
Chi phí vi phạm dữ liệu
Equifax có chính sách bảo hiểm an ninh mạng trị giá 125 triệu đô la vào thời điểm vi phạm. Công ty cho biết: "Chúng tôi đã nhận được khoản bồi hoàn tối đa theo chính sách bảo hiểm trị giá 125 triệu đô la, tất cả đều được nhận trước năm 2019".
Trong khi đó, chi phí phát sinh từ việc vi phạm dữ liệu vẫn tiếp tục tăng.
Bảng cân đối quý 1 năm 2019 của công ty liệt kê 82,8 triệu đô la chi phí bảo mật dữ liệu và công nghệ phát sinh từ vi phạm dữ liệu, bao gồm "chi phí gia tăng để chuyển đổi cơ sở hạ tầng công nghệ của công ty, chi phí cải thiện ứng dụng, mạng, bảo mật dữ liệu và chi phí phát triển và khởi chạy Lock and Alert (Khóa và Thông báo)". Theo sau là một sản phẩm của Equifax cho phép các cá nhân khóa và mở khóa báo cáo tín dụng của họ với công ty.
Bảng cân đối kế toán cũng liệt kê 12,5 triệu đô la chi phí pháp lý và điều tra hàng quý, liên quan đến các chi phí "điều tra pháp lý, chính phủ và quy định".
Báo cáo cũng liệt kê 1,5 triệu đô la chi phí liên quan đến trách nhiệm pháp lý của sản phẩm, đề cập đến việc Equifax cung cấp cho các nạn nhân bị vi phạm 12 tháng truy cập trả trước vào dịch vụ giám sát hành vi trộm cắp danh tính TrustedID từ phòng tín dụng của đối thủ cạnh tranh Experian. Năm ngoái, các nạn nhân bị vi phạm cũng đã được cung cấp thêm 12 tháng dịch vụ miễn phí nếu họ chuyển sang sản phẩm IDnotify của Experian.
Kết quả quý đầu tiên cũng cho thấy "khoản chi phí pháp lý phải trả trước thuế là 690 triệu đô la, cho các tổn thất liên quan đến một số thủ tục tố tụng và điều tra sự cố an ninh mạng năm 2017".
1,35 tỷ đô dành cho chi phí vi phạm dữ liệu
Với các khoản chi phí phải trả, công ty cho biết họ đã ghi nhận 1,35 tỷ đô la chi phí do vi phạm dữ liệu, bao gồm không chỉ chi phí giải quyết sự cố mà cả các chi phí dành cho công nghệ mới và thay đổi bảo mật dữ liệu.
Equifax cho biết: "Chi phí liên quan đến sự cố an ninh mạng năm 2017 được định nghĩa là chi phí gia tăng để chuyển đổi cơ sở hạ tầng công nghệ thông tin và bảo mật dữ liệu của chúng tôi; chi phí pháp lý và chi phí dịch vụ chuyên nghiệp để điều tra sự cố an ninh mạng năm 2017; các chi phí xử lý khiếu nại pháp lý, chính phủ và quy định; sản phẩm miễn phí và hỗ trợ liên quan đến người tiêu dùng".
Chi phí cho vi phạm có thể sẽ tiếp tục tăng. Công ty cho biết: "Tại thời điểm này, không thể ước tính những tổn thất bổ sung, và những chi phí này có thể vượt quá số tiền đã dự tính do có thể liên quan đến các khiếu nại, phán quyết, các thủ tục tố tụng và điều tra liên quan đến sự cố an ninh mạng năm 2017 dựa trên một số các yếu tố”.
Các yếu tố như vậy bao gồm các cuộc điều tra và các vụ kiện đang diễn ra, cũng như sự không chắc chắn về phương thức của các vụ kiện của người tiêu dùng. Equifax cho biết: "Số tiền cuối cùng được trả cho những hành động, yêu cầu và điều tra vượt quá số tiền đã ước tính có thể gây ảnh hưởng nghiêm trọng đến báo cáo tài chính hợp nhất của công ty, kết quả hoạt động kinh doanh hoặc dòng tiền trong các giai đoạn trong tương lai".
Kết luận của các cuộc điều tra của Canada
Tháng trước, ủy viên về quyền riêng tư của Canada đã đưa ra kết luận cuộc điều tra vụ vi phạm dữ liệu của Equifax. Ông cho rằng các biện pháp kiểm soát của công ty là "không thể chấp nhận được".
Daniel Therrien, ủy viên quyền riêng tư của Canada cho biết: "Với số lượng lớn thông tin cá nhân rất nhạy cảm mà Equifax nắm giữ và vai trò nòng cốt của nó trong lĩnh vực tài chính là một cơ quan báo cáo tín dụng, việc tìm ra những thiếu sót đáng kể trong các thực hành bảo mật và quyền riêng tư của công ty là điều không thể chấp nhận được".
Equifax đã ký một thỏa thuận tuân thủ với ủy viên quyền riêng tư. Thỏa thuận yêu cầu bộ phận văn phòng tín dụng tại Canada phải nộp báo cáo kiểm toán của bên thứ ba về cả bảo mật của bộ phận, cũng như bảo mật của công ty mẹ cho Văn phòng Ủy viên quyền riêng tư hai năm một lần, trong sáu năm tiếp theo.
Ủy viên này cho biết: "Điều này sẽ cho phép việc theo dõi liên tục vấn đề tuân thủ Đạo luật Tài liệu Điện tử và Bảo vệ Thông tin Cá nhân (PIPEDA - Personal Information Protection and Electronic Documents Act), luật riêng tư của khu vực tư nhân liên bang Canada, bao gồm cả việc đánh giá các bước được thực hiện bởi Equifax kể từ khi vi phạm".
Cơ quan quản lý Vương quốc Anh áp dụng hình phạt tối đa
Tháng 9 năm ngoái, nhà chức trách Anh đã đưa ra kết luận về việc điều tra vi phạm của họ. Văn phòng Ủy ban Thông tin (ICO - Information Commissioner's Office) - là cơ quan bảo vệ dữ liệu của Vương quốc Anh, đã tuyên bố mức phạt 500.000 Bảng (tương đương 651.000 đô la) dành cho của Equifax.
Sau một cuộc điều tra về vi phạm, được tiến hành song song với Cơ quan Quản lý Tài chính của Anh, ICO đã cáo buộc Equifax "đã không bảo vệ thông tin cá nhân của 15 triệu công dân Anh trong cuộc tấn công mạng năm 201"
Bởi vì vi phạm xảy ra trước khi Quy định bảo vệ dữ liệu chung (GDPR) của EU có hiệu lực vào tháng 5 năm 2018, Equifax đã tránh được mối đe dọa phải đối mặt với các quy định trừng phạt mạnh mẽ. GDPR cho phép mức phạt tối đa lên tới 4 phần trăm doanh thu toàn cầu hàng năm của một tổ chức hoặc 20 triệu bảng Anh (tương đương 22,5 triệu đô la), tùy theo mức nào cao hơn.
Những vụ kiện và điều tra vẫn tiếp tục
Như Equachus đã nêu trong báo cáo hàng quý mới nhất của mình, họ vẫn chưa chắc chắn về tổng chi phí phải bỏ ra liên quan đến việc vi phạm dữ liệu năm 2017. Trong khi đó, thứ hai tuần trước, tiểu bang Indiana tiến hành khởi kiện Equifax về việc vi phạm dữ liệu.
Các cuộc điều tra khác của chính phủ vẫn tiếp tục. Công ty cũng sẽ phải đối mặt với các "hình phạt dân sự" do Cục bảo vệ tài chính người tiêu dùng (CFPB - Consumer Financial Protection Bureau) áp dụng cũng như các hình phạt được áp dụng bởi Bộ Dịch vụ Tài chính của Tiểu bang New York (NYDFS - New York State Department of Financial Services).