Olay ve İhlale Müdahale, Güvenlik Operasyonları, Standartlar, Yönetmelikler ve Uyumluluk
Federal Yüklenici Veri İhlali Sonrasında Yeni Raporlama Önlemlerine Uymalıdır
Chris Riotta (@chrisriotta) •
17 Kasım 2023
Ülke çapındaki hapishane sistemleri için büyük bir telekomünikasyon yüklenicisi, yüz binlerce kullanıcının hassas bilgilerinin güvenliğini sağlayamadıktan sonra yeni siber olay açıklama politikaları uygulamak zorunda kalacak.
Ayrıca bakınız: Araçlar ve Teknoloji: Yönetişim, Risk ve Uyumluluk Başucu Kitabı
ABD Federal Ticaret Komisyonu Perşembe günü yaptığı açıklamada, 2020’de başlayan çok katmanlı bir güvenlik olayının ardından hapishanelere ve hapishane sistemlerine mahkumlar için telefon ve video hizmetleri sağlayan Virginia merkezli bir iletişim firması olan Global Tel*Link Corp. ile bir anlaşmaya vardığını söyledi.
Sorunlar ilk olarak Ocak 2022’de ViaPath Technologies olarak yeniden markalanan Global Tel*Link için, Ağustos 2020’de yeni arama yazılımını üçüncü taraf bir satıcıyla test ederken “yüzbinlerce kullanıcı” için hassas bilgilerin güvenliğini sağlayamadığı için ortaya çıktı.
İdari bir şikayete göre, Global Tel*Link ve bir üçüncü taraf satıcı, hapsedilen kişilerin kişisel verilerini şifrelenmemiş ve herhangi bir koruma olmaksızın internette tamamen erişilebilir halde bırakmıştır. FTC, adli analizlerin bilgisayar korsanlarının “açıkta kalan milyarlarca baytlık veriye” eriştiğini doğruladığını söyledi.
FTC, Global Tel*Link ve üçüncü tarafın, 650.000 kullanıcının Sosyal Güvenlik numaraları da dahil olmak üzere kişisel bilgilerini çevrimiçi ortamda açığa çıkardığını ve yaklaşık dokuz ay boyunca etkilenen kullanıcıların büyük çoğunluğuyla iletişim kuramadığını iddia etti.
Ajans avukatları, şirketin daha önce kendisini siber güvenlik şampiyonu olarak konumlandırdığını, güçlü güvenlik uygulamaları vaat ettiğini ve veri güvenliğini “yaptığımız işin temel taşı” olarak nitelendirdiğini söyledi.
Komisyon, Global Tel*Link ile önümüzdeki 20 yıl için çok faktörlü kimlik doğrulamayı içeren kapsamlı bir veri güvenliği programı uygulamasını gerektiren mutabakat anlaşmasını oybirliğiyle onayladı. Ayrıca güvenlik olaylarını herhangi bir federal, eyalet veya yerel makama bildirdikten sonra 10 gün içinde FTC’ye bildirimde bulunmalıdır.
Yeni ifşa kurallarına göre şirketin, veri ihlalleri ve belirli güvenlik olaylarını 30 gün içinde tüketicileri ve tesisleri bilgilendirmesi gerekiyor. Global Tel*Link, önceki veri ihlallerinden etkilenen kişileri bilgilendirmeyi ve kredi izleme ve kimlik koruma hizmetleri sağlamayı kabul etti.
FTC Tüketiciyi Koruma Bürosu müdürü Sam Levine, yaptığı açıklamada hapsedilen nüfusun sevdikleriyle iletişim kurma konusunda sınırlı seçeneklerle karşı karşıya olduğunu söyledi. “Tüketicilerin bir işletmenin ürün veya hizmetlerini kullanıp kullanmama konusunda çok az seçeneği olduğunda veya hiç seçeneği olmadığında, işletmenin, uygulamalarının zarar vermemesini sağlama konusunda daha büyük bir sorumluluğu vardır.”