Olay ve İhlallere Müdahale, Mevzuat ve Dava, Güvenlik Operasyonları
Otel Zinciri Federal Ticaret Komisyonuyla da Anlaştı
David Perera (@daveperera) •
9 Ekim 2024
Dünyanın en büyük otel zinciri Çarşamba günü 52 milyon dolar ödemeyi ve milyonlarca misafiri etkileyen bir dizi veri ihlalini çözmek için siber güvenlik programının yirmi yıl boyunca üçüncü taraflarca izlenmesini kabul etmeyi kabul etti.
Ayrıca bakınız: Bulutta Uyumluluk ve Güvenlik Sorunlarının Ele Alınması Konulu OnDemand I Panel Tartışması
Multi milyonluk ödeme, 49 eyalet artı Columbia Bölgesi’nden oluşan 50 ABD başsavcısı ile varılan anlaşmanın bir parçası.
Federal Ticaret Komisyonu ile bir onay emri, dışarıdan bir değerlendirici tarafından yirmi yıllık siber güvenlik programı değerlendirmelerinin yapılmasını gerektirir. Anlaşmaların tümü, ister eyalet yargıçlarından ister FTC komisyon üyelerinin başka bir tur oylamasından olsun, genellikle formalite anlamına gelen adımlarla nihai onay gerektiriyor.
Eyalet başsavcıları koalisyonuna liderlik eden Connecticut Başsavcısı William Tong, “Şirketlerin tüketici verilerinin güvenliğini korumak için makul önlemler alma yükümlülüğü var. Marriott bunu açıkça başaramadı” dedi.
Maryland merkezli Marriott, 2018’den bu yana neredeyse sürekli olarak veri ihlali davalarına saplanmış durumda ve Eylül 2016’da Starwood lüks franchise’ını satın aldıktan sonra edindiği rezervasyon sistemindeki bilgisayar korsanlarını ortaya çıkardı. Daha ileri araştırmalar, bilgisayar korsanlarının – bildirildiğine göre Çin’deki bir siber casusluk operasyonunun parçası olduğunu – ortaya çıkardı. Sisteme ilk kez Temmuz 2014’te erişim sağlandı. İhlalin son hesaplaması, 5,25 milyon kişinin şifrelenmemiş pasaport numaraları da dahil olmak üzere 133,7 milyon otel misafirinin ihlale yakalandığını hesapladı. FTC, idari şikayetinde, bilgisayar korsanlarının kurumsal ağ, veri merkezi, müşteri iletişim merkezi ve otel konumları da dahil olmak üzere “Starwood ortamındaki 58 konumdaki 480’den fazla sisteme” tuş kaydediciler, hafıza kazıyan kötü amaçlı yazılımlar ve uzaktan erişim Truva atları yüklediğini söyledi.
Marriott, Mart 2020’de başka bir ihlali açıklayarak, bilgisayar korsanlarının 5,2 milyon konuğu etkileyen bir olayla ağına sızdığını açıkladı. Etkilenen veriler arasında isimler, e-postalar, telefon numaraları ve doğum günleri gibi tanımlayıcı bilgiler yer alıyordu.
FTC rıza sözleşmesi aynı zamanda Starwood tarafından Kasım 2015’te tespit edilen bir ihlali de kapsıyor. Bilgisayar korsanları 14 aydan fazla bir süre boyunca korumasız idari hesapları ele geçirdi ve 100’den fazla otele kötü amaçlı yazılım yükleyerek ödeme kartı verilerinin tamamını ele geçirdi.
Marriott yaptığı açıklamada, yerleşimlerde hiçbir sorumluluk kabul etmediğini söyledi. Şirket, “Konukların kişisel verilerinin korunması Marriott için en önemli öncelik olmaya devam ediyor” dedi.
Eyalet başsavcılarıyla yaptığı anlaşmanın bir parçası olarak Marriott’un “makul ölçüde mümkün olduğu durumlarda” sıfır güven ilkelerini benimsemesi gerekiyor. Ayrıca, bulut bilişim sağlayıcıları da dahil olmak üzere “kritik BT satıcıları” için sözleşmeye bağlı olarak gelişmiş siber güvenlik kontrollerinin zorunlu kılınması gerekiyor.
FTC anlaşması, şirketin verileri yalnızca amacını gerçekleştirmek için gerekli olduğu sürece saklayarak veri toplamasını sınırlamasını gerektiriyor. Otel zinciri ayrıca tüketicilere kişisel bilgilerini kurumsal veritabanlarından silmenin kolay bir yolunu sunmalıdır.
İki anlaşma, Marriott’un tüketicilerin önceki 12 ay içinde meydana gelen şüpheli faaliyetlere ilişkin sadakat ödülleri hesaplarının incelenmesini talep edebilecekleri bir portal oluşturmasını gerektiriyor.
2018’deki ihlalden kaynaklanan toplu dava federal mahkemede devam ediyor. ABD’nin Maryland Bölgesi hakimi, toplu dava statüsünü 2022’de verdi, ancak Ağustos 2023’te bir temyiz mahkemesi bu kararı iptal etti ve otel misafirleri tarafından imzalanan toplu davadan feragatnamenin etkilerini daha ayrıntılı olarak değerlendirmek üzere davayı bölgeye geri gönderdi.
Marriott, 2018’deki ihlal nedeniyle İngiliz veri düzenlemelerine 2020’de 24 milyon dolar para cezası ödedi (bkz: Marriott, İhlalden Dolayı 24 Milyon Dolarlık GDPR Gizlilik Cezasına Uğradı).