Federal İletişim Komisyonu (FCC), milyonlarca ABD’li tüketicinin kişisel bilgilerini tehlikeye atan birden fazla veri ihlali nedeniyle T-Mobile ile 31,5 milyon dolarlık bir anlaşmaya varıldığını duyurdu.
Bu anlaşma, FCC Uygulama Bürosu’nun çeşitli siber güvenlik olaylarına ve bunun sonucunda 2021, 2022 ve 2023’te T-Mobile müşterilerini etkileyen veri ihlallerine (bir API olayı ve bir satış uygulaması ihlali) ilişkin soruşturmalarını çözüme kavuşturuyor.
Anlaşmanın bir parçası olarak telekomünikasyon şirketinin siber güvenlik iyileştirmelerine 15,75 milyon dolar yatırım yapması ve ABD Hazinesine ek olarak 15,75 milyon dolar para cezası ödemesi gerekiyor.
Şirket ayrıca, sıfır güven mimarisi ve kimlik avı saldırılarına dirençli çok faktörlü kimlik doğrulama gibi modern siber güvenlik çerçevelerinin benimsenmesi de dahil olmak üzere daha sağlam güvenlik önlemleri uygulamayı da taahhüt etti.
FCC Başkanı Jessica Rosenworcel, “Günümüzün mobil ağları, siber suçluların en büyük hedefleridir. Tüketici verileri, en iyi siber güvenlik korumasından daha azını alamayacak kadar önemli ve çok hassastır” dedi.
“Bu hassas bilgilerin emanet edildiği sağlayıcılara, sistemlerini güçlendirmeleri gerektiğine dair güçlü bir mesaj göndermeye devam edeceğiz, aksi takdirde bunun sonuçları olacaktır.”
Anlaşmanın bir parçası olarak T-Mobile, aşağıdakileri yaparak temel güvenlik kusurlarını ele alarak, siber hijyeni iyileştirerek ve sağlam modern mimarileri benimseyerek gizliliği, veri güvenliğini ve siber güvenlik uygulamalarını geliştirmeyi taahhüt etti:
- Daha fazla gözetim ve yönetişim sağlamak için şirketin Bilgi Güvenliği Baş Sorumlusu aracılığıyla yönetim kuruluna düzenli siber güvenlik güncellemeleri sağlamak,
- Müşteri bilgilerinin toplanmasını ve saklanmasını sınırlamak için veri minimizasyonu, veri envanteri ve veri imha süreçlerini benimsemek,
- Kötüye kullanım veya uzlaşmayı önlemek için kritik ağ varlıklarını tespit etmek ve takip etmek,
- Güvenliği artırmak için ağlarını bölümlere ayırarak modern bir sıfır güven mimarisi uygulamaya çalışmak,
- Bağımsız üçüncü taraf denetimleri ile bilgi güvenliği uygulamalarının değerlendirilmesi,
- Sızıntı, hırsızlık ve çalıntı kimlik bilgilerinin satışıyla bağlantılı ihlal risklerini engellemek için şirket sistemleri genelinde çok faktörlü kimlik doğrulamanın benimsenmesi.
“T-Mobile ve diğer telekomünikasyon hizmet sağlayıcıları gibi ulusal güvenlik ve tüketici koruma çıkarlarının örtüştüğü bir alanda faaliyet gösteren şirketlerle, ulusal siber güvenlik duruşumuzu iyileştirmek ve gelecekte güvenlik ihlallerini önlemeye yardımcı olmak için telekomünikasyon ağlarında kritik teknik değişikliklerin yapılmasını sağlamaya odaklandık. FCC İcra Bürosu Şefi Loyaan A. Egal, “Amerikalıların hassas verileri” diye ekledi.
FCC’nin 2023 yılında Başkan Rosenworcel tarafından kurulan Gizlilik ve Veri Koruma Görev Gücü, tıpkı FCC’nin Eylül 2024’te AT&T ve Verizon adına benzer anlaşmalara vardığında olduğu gibi, soruşturma ve çözümde merkezi bir rol oynadı. yan kuruluşu TracFone Wireless, Temmuz 2024’te (16 milyon dolar).
FCC ayrıca, müşterilerinin gerçek zamanlı konum verilerini rızaları olmadan paylaştığı için ABD’nin en büyük kablosuz iletişim operatörlerine Nisan 2024’te yaklaşık 200 milyon dolar para cezası verdi.
Nisan ayındaki hak kaybı emirleri, Şubat 2020’de AT&T, Sprint, T-Mobile ve Verizon’a karşı yayınlanan Görünür Sorumluluk Bildirimlerini (NAL) kesinleştirdi ve dört operatörün her birine milyonlarca para cezası verdi: Sprint için 12 milyon dolar ve T-Mobile için 80 milyon dolar (soruşturma başladığından beri iki operatör birleşti), AT&T için 57 milyon dolardan fazla ve Verizon için neredeyse 47 milyon dolar para cezası.
Şubat ayında FCC, telekomünikasyon şirketlerinin müşterilerinin kişisel bilgilerini etkileyen veri ihlallerini 30 gün içinde bildirmelerini zorunlu kılacak şekilde veri ihlali raporlama kurallarını da güncelledi.