Finansal hizmetler şirketi OneMain’i hedef alan toplam milyonluk para cezasına bir göz atıyoruz.
Bir dizi güvenlik hatası ve aksilik, kişisel kredi sağlayıcısı OneMain’e New York Eyaleti mali hizmetler departmanı tarafından verilen 4,25 milyon dolarlık cezaya mal oldu. Şirketteki güvenlik uygulamalarının vasatın altında olduğunun tespit edildiği detaylı inceleme sonucunda verilen cezalar, diğer kuruluşlar için zamanında bir uyarı niteliği taşıyor.
OneMain, 2018’den 2020’ye kadar üç yıl boyunca “en az” üç güvenlik olayı yaşadı. İşletme, lisanslı bir borç veren ve ipotek hizmet sağlayıcısıdır ve SC Magazine’in belirttiği gibi, finansal kuruluşlar bir güvenlik gereksinimleri çerçevesine uymalıdır. Bu gereksinimler, hem tüketici verilerinin hem de dahili sistemlerin zarar görmemesini sağlamak için en iyi uygulamaların her zaman açık olmasını içerir. DFS sürümünden:
…OneMain Financial Group LLC (“OneMain”), DFS’nin Siber Güvenlik Yönetmeliğini (23 NYCRR Bölüm 500) ihlal ettiği için New York Eyaletine 4,25 milyon dolar ceza ödeyecek. OneMain, üçüncü taraf hizmet sağlayıcı riskini etkin bir şekilde yönetmede, erişim ayrıcalıklarını yönetmede ve resmi bir uygulama güvenliği geliştirme metodolojisi sağlamada başarısız oldu ve bu da şirketin siber güvenlik olaylarına karşı savunmasızlığını önemli ölçüde artırdı.
Ne yazık ki OneMain için New York Eyaleti soruşturması, nihai anlaşmayla sonuçlanan birkaç önemli sorunu vurguladı. Bazı örnekler için sürüme geri dönersek:
…OneMain, yerel yönetim kullanıcılarının hesapları paylaşmasına izin vererek, kötü niyetli aktörleri belirleme yeteneğinden ödün verdi ve ayrıca bu hesapların, yetkisiz erişim riskini artırarak, kullanıcı katılımı sırasında OneMain tarafından sağlanan varsayılan parolayı kullanmasına izin verdi.
Varsayılan parolaların kullanılması yeterince kötü, ancak SC Magazine ayrıca parolaları içeren bir dosyanın “PASSWORDS” adlı bir klasörde saklandığını belirtiyor. Buna erişim kısıtlamalarının yeterince iyi olmadığını ve felaket için bir tarifiniz olduğunu ekleyin.
Yayın devam ediyor:
Departmanın araştırması ayrıca, OneMain’in uygulama güvenliği politikasının, şirketin yazılım geliştirme yaşam döngüsünün tüm aşamalarını ele alan resmileştirilmiş bir metodolojiden yoksun olduğunu da ortaya çıkardı. Bunun yerine OneMain, kurum içinde geliştirdiği ve siber güvenlik olaylarına karşı artan güvenlik açığının bir sonucu olarak belirli temel yazılım geliştirme yaşam döngüsü aşamalarını ele almakta başarısız olan resmi olmayan bir proje yönetim çerçevesi kullandı.
Yazılım yaşam döngüleri için herhangi bir tutarlı stratejiye sahip olmamanın sonu asla iyi olmayacak. Bir işletme ister Windows güncellemelerini görmezden gelsin, ister ısmarlama kurulumlar ve yazılımlar için güvenliği sağlasın, bir saldırıya kurban gitme olasılığı ancak zaman geçtikçe artabilir.
Şimdiye kadar varsayılan parolalar, veri depolama ve yazılım yaşam döngüsü yönetimi ile ilgili sorunlar gördük. Bu tek başına yeterince kötü olurdu. Bununla birlikte, cezaya layık uygulamaların kanıtı olarak ortaya çıkan bir sonraki konu, pekala grubun en kötüsü olabilir. Bir kez daha sürüme geçiyoruz:
OneMain, her satıcının satıcının risk derecesini ve uygun durum tespiti düzeyini belirlemek için bir değerlendirmeden geçmesini gerektiren bir üçüncü taraf satıcı yönetim politikasının varlığına rağmen, belirli yüksek ve orta riskli satıcılar için zamanında durum tespiti yapmadı. OneMain’in yapması gereken durum tespiti satıcı üzerinde gerçekleştirin. OneMain ayrıca, satıcıların kamuya açık olmayan bilgileri uygunsuz bir şekilde işlemesi ve zayıf siber güvenlik kontrolleri tarafından hızlandırılan birden çok siber güvenlik olayının meydana gelmesinden sonra bile birkaç satıcının risk puanlarını uygun şekilde ayarlamakta başarısız oldu.
Bunun anlamı, OneMain’in çeşitli üçüncü taraf satıcılarla potansiyel güvenlik tehditleri açısından gerekli özeni göstermeden çalıştığıdır. Bu, satıcıların çoğunun orta ila yüksek riskli olarak işaretlenmesine rağmen.
Tüm bunları göz önünde bulundurarak, New York Eyaleti DFS’nin neden böyle bir para cezasına doğru yola çıktığını anlamak belki de kolaydır. Buna rağmen The Record, OneMain’in 2023’ün ilk çeyreği için 1,09 milyar dolar gelir bildirdiğini belirtiyor. Birkaç milyon cezanın genel olarak büyük bir fark yaratıp yaratmayacağını düşünebilsek de, OneMain “daha fazla önemli iyileştirme önlemi almayı” kabul etti. Plana bağlı kalmamaları durumunda sonuçların ne olacağı görülecek.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE