Prokurator Generalny stanu Nowy Jork oraz Departament Usług Finansowych nałożyli grzywny o łącznej wartości 11,3 mln dolarów na firmy GEICO i Travelers za niewystarczające środki bezpieczeństwa cybernetycznego, które doprowadziły do narażenia danych osobowych ponad 120 000 mieszkańców Nowego Jorku. Do naruszeń doszło podczas szeroko zakrojonej kampanii hakerskiej wymierzonej w aplikacje do wyceny ubezpieczeń samochodowych online, co pozwoliło hakerom uzyskać dostęp do wrażliwych informacji, takich jak numery praw jazdy.
Dochodzenia przeprowadzone przez Biuro Prokuratora Generalnego i Departament Usług Finansowych wykazały, że obie firmy nie wdrożyły niezbędnych kontroli bezpieczeństwa danych i nie przestrzegały stanowych przepisów dotyczących cyberbezpieczeństwa. W konsekwencji GEICO zapłaci 9,75 mln dolarów, a Travelers 1,55 mln dolarów kary.
Luki w zabezpieczeniach GEICO doprowadziły do narażenia danych około 116 000 mieszkańców, głównie poprzez narzędzie do wyceny używane przez agentów ubezpieczeniowych firmy. Naruszenie w Travelers, które pozostawało niewykryte przez ponad siedem miesięcy, dotknęło około 4 000 mieszkańców Nowego Jorku. Skradzione dane były później wykorzystywane przez hakerów do składania fałszywych wniosków o zasiłek dla bezrobotnych podczas pandemii COVID-19.
W ramach ugody obie firmy są zobowiązane do znacznego wzmocnienia swoich protokołów cyberbezpieczeństwa. Obejmuje to opracowanie kompleksowego programu bezpieczeństwa informacji, utrzymywanie inwentaryzacji danych z odpowiednimi zabezpieczeniami, wdrożenie rozsądnych procedur uwierzytelniania oraz usprawnienie procedur reagowania na zagrożenia.
GEICO zgodziło się przeprowadzić kompleksową ocenę ryzyka cyberbezpieczeństwa i opracować plan działania w celu rozwiązania potencjalnych problemów. Podobnie, Travelers ma dokonać przeglądu swoich systemów, ocenić kontrole dostępu i wzmocnić ochronę przed nieautoryzowanym dostępem do niepublicznych informacji osobowych.
Departament Usług Finansowych stanu Nowy Jork aktywnie egzekwuje przepisy dotyczące cyberbezpieczeństwa, a nakazy ugodowe przyniosły ponad 100 mln dolarów grzywien od czasu wdrożenia Regulacji Cyberbezpieczeństwa. Zaktualizowana poprawka, obowiązująca od listopada 2023 roku, ma na celu dalszą ochronę firm i konsumentów w Nowym Jorku.
To działanie egzekucyjne jest częścią serii środków podjętych przez Prokurator Generalną Letitię James w celu pociągnięcia firm do odpowiedzialności za słabe praktyki cyberbezpieczeństwa i poprawy ochrony danych. Ugody podkreślają zaangażowanie stanu w zapewnienie bezpieczeństwa danych konsumentów i odporności instytucji finansowych na zagrożenia cybernetyczne. Informacje te oparte są na oświadczeniu prasowym.
Artykuł został przetłumaczony przy pomocy sztucznej inteligencji. Zapoznaj się z Warunkami Użytkowania, aby uzyskać więcej informacji.