Агентство по регулированию действий финансовых институтов (АРДФИ) объявило о
том, что на Финансовую Корпорацию Centaurus (ЦФК), округ Оранж, Калифорния, был
наложен штраф в размере $175,000 за отсутствие обеспечения надлежащей
безопасности конфиденциальной информации клиентов. Корпорацию так же обязали
уведомить клиентов и их брокеров, которые пострадали от этого и предложить им
бесплатный кредитный мониторинг на год.
АРДФИ было обнаружено, что в период с апреля 2006 по июль 2007 ЦФК не была в
состоянии обеспечить надлежащую защиту конфиденциальных данных клиентов. На
сервере компании было установлено не надлежащим образом настроенное программное
обеспечение сетевой защиты (файрволл), а так же логин и пароль для факсимильного
сервера позволяли несанкционированно проникнуть в систему к сохраненным
изображениям факсимильных сообщений, где содержалась конфиденциальная информация
клиентов, такая как номера социального страхования, номера счетов, даты рождения
и другая секретная информация клиента. "Защита" компании так же не обеспечивала
защиту от фишинга. Когда ЦФК обнаружила фишинговые атаки, было проведено
неадекватное ситуации расследование и были разосланы уведомления, с некорректной
информацией 1400 клиентам, пострадавшим от мошенничества.
"Тот факт, что компания была оштрафована именно за инцидент, который она
допустила, вызывает некоторую зависть - только такой порядок вещей может
привести к усилению безопасности, - считает главный аналитик компании InfoWatch,
эксперта в области систем обеспечения информационной безопасности и защиты
данных от утечки, Николай Федотов. - Когда же компания наказывается за
несоблюдение установленного порядка защиты (независимо от того, были инциденты
или нет) - это не совсем верно. И совсем уж неверно, когда инцидент происходит,
но оператор не несёт за это ответственности, поскольку у него в наличии все
положенные бумаги о соблюдении установленного порядка. К сожалению, обе эти
ситуации слишком часто у нас встречаются".
15 июля 2007 года сервер ЦФК был подвержен фишинговой атаке с третьей
стороны. Фишинговое мошенничество используется для извлечения персональной
информации пользователей, такой как логины, пароли, информации по банковским и
кредитным счетам. Файл, имитирующий популярный интернет аукцион был передан на
сервер ЦФК, и в течение трех дней было зарегистрировано 895 несанкционированных
входа в систему с 459 IP адресов, большинство из них были произведены
получателями массовых рассылок, которая была сделана мошенниками.
После того как инцидент был раскрыт, ЦФК отправила уведомление с некорректной
информацией примерно 1400 клиентам и их брокерам, сообщив, что
несанкционированный доступ был разовый и информация на сервере не была доступна.
В письме не сообщалось о том, что было массовое вторжение и что это произошло
из-за не отвечающего требованиям безопасности файрволу и доступным логину "Administrator"
и паролю "password" к серверу. Неадекватным ситуации поведением ЦФК были
нарушены федеральные правила установленные S-P и АРДФИ.
"Также вызывает уважение позиция регулирующих органов США, что важно не
только соблюдать правила ИБ, не допускать инцидентов, но и верно реагировать,
когда инцидент произошёл. Абсолютно надёжной защиты не бывает, - комментирует
главный аналитик компании InfoWatch. - Поэтому всегда обязательно иметь "второй
эшелон" и позаботиться о снижении вредных последствий инцидента. В некоторых
ситуациях это даже важнее, чем "первичная" защита. Такого раздела (о
заглаживании последствий утечек) явно не хватает в российском законе "О
персональных данных".
Согласно условиям решения, "Centaurus" обязуется обеспечить клиентов и их
брокеров надлежащей информацией, которым ранее была отправлена неверная
информация, и предложить им бесплатный кредитный мониторинг. Помимо этого, в ЦФК
будет проведена сертификация в соответствии с требованиями АРДФИ.