0
0
Investigação do Departamento de Serviços Financeiros descobriu que a Carnival Corporation e suas subsidiárias falharam em implementar proteções básicas de segurança cibernética
A superintendente do Departamento de Serviços Financeiros de Nova York, Adrienne A. Harris, anunciou hoje que as empresas Carnival Corporation, Carnival Cruise Line, Princess Cruise Lines, Holland America Line, Seabourn Cruise Line e Costa Cruise Lines pagarão uma multa de US$ 5 milhões ao Estado de Nova York por violações do Regulamento de Segurança Cibernética que causou a exposição de uma quantidade substancial de dados pessoais confidenciais e não públicos pertencentes a seus clientes, incluindo consumidores de Nova York.
A investigação do Departamento descobriu evidências de que as Carnival Companies foram objeto de quatro eventos de segurança cibernética entre 2019 e 2021, incluindo dois ataques de ransomware. Esses eventos de segurança cibernética envolveram o acesso não autorizado aos sistemas de informação das empresas, levando à exposição de dados pessoais confidenciais dos clientes. A investigação do Departamento descobriu, entre outras coisas, que as Carnival Companies violaram o Regulamento de Segurança Cibernética DFS ao não implementar a Autenticação Multifator (“MFA”), deixando de relatar prontamente o primeiro Evento de Segurança Cibernética ao Departamento, conforme exigido pelo Regulamento, e não realizar treinamento adequado de segurança cibernética para seu pessoal.
Como resultado dessas falhas, as certificações de conformidade de segurança cibernética da Carnival Companies para os anos civis de 2018 a 2020 eram impróprias. O atraso na implementação do MFA, juntamente com as falhas de treinamento e notificação, deixou os Sistemas de Informação das Empresas Carnival e as Informações Não Pessoais (“NPI”) de seus consumidores extremamente vulneráveis a maus atores.
Na época dos incidentes, as Carnival Companies eram produtoras de seguros licenciadas no Estado de Nova York, vendiam vários produtos de seguros e, portanto, estavam sujeitas ao Regulamento de Segurança Cibernética da DFS. Em conexão com o acordo, as Companhias Carnival entregaram as licenças de produtor de seguros, e o Departamento aceitou a sua entrega. Como resultado, as Carnival Companies deixaram de vender seguros no Estado de Nova York.
FONTE: CISO ADVISOR