Генеральный прокурор Джеймс заключил соглашение с колледжем Marymount Manhattan о выделении 3,5 млн. долл. на защиту данных студентов в Интернете

НЬЮ-ЙОРК - Сегодня генеральный прокурор Нью-Йорка Летиция Джеймс объявила о заключении соглашения с частным некоммерческим гуманитарным колледжем Marymount Manhattan College (MMC) в Нью-Йорке о вложении 3,5 млн. долл. в обеспечение безопасности данных для защиты информации студентов в Интернете. В 2021 г. в MMC произошла утечка данных, затронувшая около 100 тыс. жителей Нью-Йорка - нынешних и будущих студентов, преподавателей и выпускников MMC. В результате расследования, проведенного Генеральной прокуратурой США (OAG), выяснилось, что MMC не обеспечила должной защиты своей сетевой инфраструктуры и не обновила свои политики с учетом новых проблем безопасности, что сделало ее уязвимой к утечке данных. В результате сегодняшнего соглашения MMC должна инвестировать 3,5 млн. долл. в совершенствование шифрования данных и протоколов безопасности, чтобы снизить риск будущих утечек.

"Когда такие учебные заведения, как Marymount Manhattan College, не обеспечивают должной защиты данных в Интернете, тысячи жителей Нью-Йорка подвергаются риску", - заявил генеральный прокурор Джеймс. "В современную цифровую эпоху и компании, и университеты должны лучше защищать доверенную им личную информацию. Это соглашение поможет обеспечить защиту онлайновых данных будущих студентов, преподавателей и выпускников MMC".

В ноябре 2021 г. хакер проник в техническую инфраструктуру MMC и получил доступ к данным 99 097 жителей Нью-Йорка, включая номера социального страхования, банковских и кредитных карт, паспортов, водительских прав, медицинскую информацию. Некоторые из этих данных были получены более 10 лет назад и принадлежали заявителям, которые никогда не учились в MMC. Затем хакер зашифровал информацию и потребовал выкуп за ее возвращение. MMC заплатила выкуп, и похищенные данные были удалены.

После кибератаки Уполномоченный по правам человека (OAG) начал расследование по факту взлома, а также в связи с тем, что компания MMC не соблюдала требования конфиденциальности и безопасности данных. В результате расследования было установлено, что MMC не обеспечила надлежащую защиту персональных данных, в том числе не использовала многофакторную аутентификацию учетных записей, не шифровала конфиденциальные данные и не обновляла политики безопасности и встроенное программное обеспечение в ответ на новые угрозы безопасности.

В рамках сегодняшнего соглашения MMC должна инвестировать 3,5 млн. долл. в течение следующих шести лет в улучшение защиты персональной информации потребителей, в том числе путем: 

• Поддержание комплексной программы информационной безопасности, включающей регулярные обновления в соответствии с изменениями в технологиях и угрозах безопасности;
• Шифрование всей персональной информации, как хранимой, так и передаваемой между документами, базами данных или в других местах;
• Поддержание разумных политик для выполнения обновлений безопасности и управления исправлениями;
• Включение многофакторной аутентификации для пользователей, входящих в сети MMC;
• Сканирование на наличие уязвимостей и потенциальных слабых мест; и
• Публичный доступ к плану университета по назначению собираемой, хранимой и подлежащей удалению персональной информации.

Сегодняшнее соглашение продолжает усилия генерального прокурора Джеймса по защите личной информации жителей Нью-Йорка и привлечению компаний к ответственности за некачественную защиту данных. В мае этого года генеральный прокурор Джеймс взыскал 300 000 долл. с компании Sports Warehouse за неспособность защитить данные 2,5 млн. клиентов. Также в мае генеральный прокурор Джеймс взыскал 550 000 долл. с компании по управлению медицинскими услугами за неспособность защитить данные пациентов. В апреле генеральный прокурор Джеймс выпустил всеобъемлющее руководство по защите данных, призванное помочь компаниям укрепить свои методы защиты информации. В декабре 2022 г. генеральный прокурор Джеймс взыскал 200 000 долл. с производителя студенческих шапок и платьев Herff Jones за неспособность защитить персональные данные потребителей. В октябре 2022 г. генеральный прокурор Джеймс объявил о заключении соглашения на сумму 1,2 млн. долл. с владельцем компаний SHEIN и Zoetop за неспособность должным образом справиться с утечкой данных, в результате которой были скомпрометированы персональные данные миллионов потребителей. В июне 2022 г. генеральный прокурор Джеймс взыскал с компании Wegmans 400 тыс. долл. и обязал ее повысить безопасность хранения данных после того, как в результате утечки информации была раскрыта личная информация потребителей. В марте 2022 г. генеральный прокурор Джеймс выпустил предупреждение для потребителей, в котором рекомендовал клиентам T-Mobile принять соответствующие меры для защиты своей личной информации после утечки данных.

Данным вопросом занимались помощник генерального прокурора Натаниэль Косслин и заместитель начальника бюро Кларк Рассел при особой помощи аналитика по Интернету и технологиям Нишаанта Госвами из Бюро по Интернету и технологиям под руководством начальника бюро Кима Бергера. Бюро Интернета и технологий входит в состав Отдела экономического правосудия, который возглавляет главный заместитель генерального прокурора Крис Д'Анджело и курирует первый заместитель генерального прокурора Дженнифер Леви.