Американският безжичен оператор AT&T се съгласи да плати 13 млн. долара в споразумение с Федералната комисия по комуникациите (FCC) във връзка с нарушение на сигурността на данните през 2023 г.
Инцидентът, разкрит през март 2023 г., е резултат от кибератака срещу доставчик от трета страна и е довел до компрометиране на защитена мрежова информация за клиенти (CPNI), отнасяща се до около девет милиона клиенти на AT&T.
„В нашия бранш CPNI е информация, свързана с телекомуникационните услуги, които купувате от нас, като например броя на линиите в акаунта ви или плана за безжична връзка, за който сте абонирани“, пише AT&T в имейл известия, изпратени до засегнатите клиенти.
Според тогавашното съобщение на AT&T доставчикът от трета страна е предоставял маркетингови услуги и компрометираните данни не са включвали финансова или лична информация, като например номера на социални осигуровки, пароли за сметки, кредитни карти или друга чувствителна информация.
На 17 септември 2024 г. FCC обяви споразумение за съгласие за разрешаване на разследването дали AT&T не е защитила информацията за клиентите, дали неправомерно е използвала и разкрила CPNI без одобрението на клиента, дали не е идентифицирала и предотвратила опитите за достъп до CPNI и дали е прилагала „несправедливи и необосновани практики за защита на личните данни, киберсигурността и управлението на доставчика“ във връзка с нарушението на сигурността на данните.
Според постановлението за съгласие доставчикът е трябвало да унищожи или върне информация за клиенти на AT&T „години преди нарушението през 2023 г. съгласно съответните договори, които AT&T е сключила с доставчика“.
„AT&T не е успяла да гарантира, че нейният доставчик е защитил адекватно тази информация за клиенти; вместо това тя е останала в облачната среда на доставчика в продължение на много години, след като е трябвало да бъде изтрита или върната на AT&T, и в крайна сметка е била изложена на риск при нарушението през 2023 г.“, се казва в постановлението за съгласие.
Като част от споразумението безжичният оператор ще плати гражданска санкция в размер на 13 млн. щатски долара и ще се ангажира да засили практиките си за управление на данните, за да гарантира, че чувствителните данни на потребителите са защитени от подобни заплахи.
От AT&T се изисква да ограничи достъпа на доставчиците до CPNI и друга чувствителна информация на клиентите и тяхното унищожаване, да въведе цялостна програма за сигурност, която обхваща информацията за клиентите, да проследява данните на клиентите като част от програмата си за инвентаризация на данни, да въведе контрол и надзор на доставчиците, да изисква от тях да спазват задълженията за съхранение и унищожаване и да провежда годишни одити за съответствие.
AT&T ще направи значителни инвестиции за подобряване на защитата на информацията за клиентите, която се споделя с трети страни, и тези инвестиции се очаква да бъдат много по-големи от гражданската санкция, заяви FCC .
„Комисията ще държи AT&T отговорно за извършването на тези задължителни промени в практиките за защита на данните, както се изисква за спазване на настоящото постановление за съгласие, Закона за комуникациите и правилата на Комисията занапред“, се казва в постановлението за съгласие.
„Защитата на данните на нашите клиенти остава един от основните ни приоритети. Миналата година доставчик, когото използвахме по-рано, преживя инцидент със сигурността, който разкри данни, отнасящи се до някои от нашите клиенти на безжични услуги. Въпреки че нашите системи не бяха компрометирани при този инцидент, ние правим подобрения в начина, по който управляваме информацията за клиентите вътрешно, както и прилагаме нови изисквания към практиките за управление на данните на нашите доставчици.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.