.
Os reguladores de Nova York continuam apertando os parafusos nas organizações com segurança de computador descuidada.
Esta semana, US$ 4,5 milhões foram extraídos da empresa de seguros de visão EyeMed, acusada de deixar imprudentemente informações confidenciais de saúde de centenas de milhares de pessoas ao alcance de intrusos.
Além de desembolsar o dinheiro para liquidar reivindicações de violação das regras de segurança cibernética do Departamento de Serviços Financeiros do Estado de Nova York, a EyeMed também concordou em melhorar suas defesas de rede e realizar uma avaliação abrangente de risco de seus sistemas de TI, sujeita à revisão e aprovação do DFS.
“É extremamente importante que as informações não públicas dos consumidores sejam mantidas a salvo de possíveis atividades criminosas”, disse a superintendente de serviços financeiros Adrienne A. Harris em anunciando o arranjo.
Para colocar as multas em perspectiva: a Luxottica of America, empresa controladora da EyeMed, supostamente arrecada receitas anuais superior a US$ 500 milhões. Em outras palavras: não derrame muitas lágrimas pela seguradora por causa de um cheque de US$ 4,5 milhões.
A confusão de dados remonta a 2020 e, de acordo com o EyeMed, é provável que uma de suas pessoas tenha caído em um phishing. Em julho de 2020, a seguradora da visão descobriu que um intruso obteve acesso a uma conta de e-mail compartilhada que os funcionários usavam para processar as inscrições. As informações pessoais dos clientes estariam na ponta dos dedos do bisbilhoteiro.
Ao descobrir a violação de segurança, a EyeMed “imediatamente” bloqueou o acesso à caixa de correio e contratou especialistas externos, de acordo com o acordo do acordo. papelada [PDF]. A investigação revelou mais tarde que a invasão ocorreu por volta de 24 de junho a 1º de julho de 2020, período em que criminosos leram e roubaram e-mails e anexos contendo informações não públicas de saúde dos consumidores, incluindo dados sobre menores, seis anos antes do ataque cibernético. .
Em 28 de setembro de 2020, a EyeMed começou a notificar os indivíduos afetados e relatou a violação ao DFS de Nova York em 9 de outubro de 2020.
Em sua própria investigação, o estado descobriu que a empresa de seguros de visão violou os regulamentos de segurança cibernética ao não implantar a autenticação multifator (MFA) em todo o seu ambiente de e-mail. “O atraso na implementação da MFA deixou os sistemas de informação da EyeMed e o NPI de seus consumidores vulneráveis a agentes de ameaças”, afirmou a documentação do acordo.
Além disso, a EyeMed deve ter privilégios de acesso de usuário limitados à caixa de correio comprometida e não permitir que nove funcionários compartilhem credenciais de login, de acordo com o DFS. A empresa também não implementou processos suficientes de retenção e descarte de dados, dando assim ao ladrão acesso a mais de seis anos de dados privados das pessoas.
Se a seguradora tivesse realizado uma avaliação de risco adequada, conforme exigido pelos requisitos de segurança cibernética do estado dos EUA, teria identificado essas deficiências de segurança, nos disseram.
O acordo EyeMed segue vários outros acordos entre empresas de exposição de dados e o estado de Nova York.
Na semana passada, a varejista online Zoetop concordou em desembolsar US$ 1,9 milhão depois que os dados da conta pertencentes a 46 milhões de clientes foram roubados em 2018.
E durante o verão, o DFS multou as operações de criptomoeda de Robinhood US$ 30 milhões e Carnival Cruise Lines US$ 5 milhões por violar os regulamentos de segurança cibernética de Nova York. ®
.
