Генеральный прокурор Джеймс выпускает руководство по безопасности данных, чтобы помочь предприятиям лучше защищать личную информацию потребителей

НЬЮ-ЙОРК - Генеральный прокурор Нью-Йорка Летиция Джеймс (Letitia James) выпустила сегодня руководство, призванное помочь компаниям принять эффективные меры по обеспечению безопасности данных для лучшей защиты личной информации жителей Нью-Йорка. Руководство составлено на основе опыта Генеральной прокуратуры (OAG) по расследованию и судебному преследованию компаний, пострадавших от нарушений кибербезопасности. Руководство содержит ряд рекомендаций, призванных помочь компаниям предотвратить утечки и обеспечить безопасность своих данных.

"Когда компаниям доверяют конфиденциальную информацию о клиентах, они несут юридическую и моральную ответственность за ее защиту от утечки данных", - сказал генеральный прокурор Джеймс. "В современном цифровом мире компании не могут позволить себе рисковать личной информацией потребителей. Предприятия могут и должны делать больше, чтобы защитить жителей Нью-Йорка от кражи личных данных и мошенничества. Руководство по безопасности, созданное моим офисом, содержит рекомендации, которые помогут нью-йоркским компаниям опередить киберпреступников и лучше защитить личную и финансовую информацию потребителей".

Киберпреступники используют личную информацию потребителей, чтобы заработать деньги либо путем кражи личных данных, либо вынуждая компанию заплатить выкуп. Одной из наиболее чувствительных частей информации является номер социального страхования потребителя. Имея номер социального страхования, злоумышленник может открывать финансовые счета на имя жертвы и получать федеральные и государственные пособия. В прошлом году в OAG было зарегистрировано 1 876 случаев утечки данных, связанных с раскрытием номеров социального страхования, которые затронули более 3,2 миллиона жителей Нью-Йорка.

В руководстве обсуждаются некоторые промахи в обеспечении безопасности данных, обнаруженные в ходе недавних расследований, и даются рекомендации, которые следует принять компаниям, чтобы лучше защитить свои системы, укрепить свои сети и усилить меры по обеспечению безопасности данных. Некоторые важные советы из руководства OAG включают:

• Поддерживать средства контроля безопасной аутентификации. Для предприятий, хранящих информацию о клиентах, надежные процедуры аутентификации помогут обеспечить доступ к данным только авторизованным лицам. К таким процедурам относятся многофакторная аутентификация и политика паролей, требующая уникальности и сложности паролей.
• Шифрование конфиденциальной информации о клиентах. Шифрование конфиденциальной информации, например, номеров социального страхования, позволяет защитить ее от хакеров, способных преодолеть другие средства защиты.
• Убедитесь, что ваши поставщики услуг используют разумные меры безопасности. Компании, предоставляющие сторонним поставщикам доступ к информации о клиентах, должны убедиться в том, что эти поставщики используют соответствующие меры безопасности данных для защиты информации. В большинстве случаев это включает в себя тщательный отбор поставщиков с соответствующими программами обеспечения безопасности данных, включение требований безопасности в контракты и контроль работы поставщиков на предмет соблюдения требований.
• Знать, где хранится информация о потребителях. Предприятие не может должным образом защитить информацию о клиентах, если оно не знает, где она хранится. Предприятие должно вести инвентаризацию активов, отслеживая, где хранится информация о клиентах.
• Защита от автоматизированных атак. Одной из наиболее распространенных форм атак на учетные записи клиентов по-прежнему является "вброс учетных данных". Этот вид атак, как правило, заключается в многократных попытках входа в учетные записи с использованием имен и паролей, украденных из других онлайн-сервисов. Именно поэтому компании, ведущие учетные записи своих клиентов в Интернете, должны иметь программу обеспечения безопасности данных, включающую эффективные средства защиты клиентов от атак, связанных с подстановкой учетных данных. В январе 2022 г. OAG выпустило руководство для бизнеса по атакам на вброс учетных данных, в котором подробно описаны четыре области, в которых необходимо соблюдать меры предосторожности, а также конкретные меры предосторожности, которые были признаны эффективными.
• Быстрое и точное уведомление потребителей о нарушении целостности данных. Если предприятие столкнулось с утечкой данных, очень важно своевременно и точно проинформировать клиентов, чтобы они могли принять меры по самозащите. Если вместо этого компании публикуют вводящие в заблуждение заявления, преуменьшая масштабы или серьезность атаки, это может создать у клиентов ложное ощущение безопасности и нарушить законодательство Нью-Йорка.

"По мере развития технологий защита конфиденциальной личной информации становится все более важной, чем когда-либо", - сказал исполнительный директор округа Вестчестер Джордж Латимер. "Я высоко ценю усилия генерального прокурора Летиции Джеймс, предоставившей это руководство, чтобы помочь компаниям лучше защищать данные жителей Нью-Йорка. Приняв эти рекомендации, компании смогут усилить свои меры безопасности и предотвратить кибератаки".

"Угрозы кибербезопасности растут, и жители Нью-Йорка должны быть уверены, что предприятия, с которыми они взаимодействуют, обеспечивают безопасность их данных", - сказала сенатор штата Кристен Гонсалес . "Это руководство дает предприятиям инструменты и советы, необходимые для защиты информации жителей Нью-Йорка. Я благодарна Генеральному прокурору за то, что он возглавил работу над этим вопросом, и я надеюсь на совместную работу по повышению кибербезопасности в штате Нью-Йорк".

"В прошлом году более 3,2 миллиона жителей Нью-Йорка пострадали от утечек данных, связанных с раскрытием их номеров социального страхования", - сказал сенатор штата Брэд Хойлман-Сигал . "В нашем технологически зависимом обществе жители Нью-Йорка доверяют бизнесу и полагаются на него в защите своей личной информации. Я благодарен генеральному прокурору Джеймсу за создание этого надежного и доступного руководства по безопасности данных, которое поможет нашим предприятиям лучше защитить потребителей от кражи личных данных и мошенничества".

"Как председатель комитета по защите прав потребителей, я очень серьезно отношусь к конфиденциальности данных и интернет-безопасности", - сказал сенатор штата Кевин Томас . "Я благодарю генерального прокурора Джеймс и ее сотрудников за создание этого полезного руководства, в котором легко рассказать о том, как наши нью-йоркские предприятия могут улучшить защиту данных. Я призываю компании всех размеров использовать этот замечательный ресурс о способах защиты личной информации от утечек, которые могут иметь негативные последствия для их сотрудников и клиентов". 

"Слишком много жителей Нью-Йорка ежегодно становятся жертвами краж личных данных и персональных данных", - заявила сенатор штата Самра Брук. "По мере развития технологий в различных отраслях Нью-Йорк должен принимать меры, чтобы обеспечить предприятия ресурсами, необходимыми для более эффективной защиты данных их клиентов. Я благодарна генеральному прокурору за ее лидерство в этом вопросе и надеюсь на продолжение совместной работы по защите жителей Нью-Йорка".

"По мере развития технологий наши руководства по защите потребителей в киберпространстве должны идти в ногу со временем", - сказала член Ассамблеи Нили Розик. "Это руководство поможет потребителям лучше защитить себя и свои данные как онлайн, так и офлайн. Я благодарна генеральному прокурору Джеймсу, который уделяет приоритетное внимание защите потребителей в постоянно меняющемся мире".

"Клиенты ожидают, что компании будут хранить их личные данные в безопасности", - сказала член Ассамблеи Моника Уоллес . "Однако слишком часто эта информация оказывается под угрозой со стороны изощренных киберпреступников. Я благодарю генерального прокурора Джеймс за ее активные усилия по обучению владельцев бизнеса лучшим методам кибербезопасности, чтобы мы могли лучше защитить потребителей от кражи личных данных, мошенничества и связанных с ними преступлений".

"Утечки данных могут иметь серьезные последствия как для предприятий, так и для потребителей, чья личная информация оказалась под угрозой", - сказала член городского совета Нью-Йорка Дженнифер Гутьеррес . "Потребители, которые обычно больше всего страдают от нарушений кибербезопасности, часто являются теми, кто меньше всего может себе это позволить. Я благодарю генерального прокурора Джеймса за выпуск этих критически важных рекомендаций для предприятий, которые помогут даже самым маленьким компаниям защитить свои данные и данные своих клиентов от киберпреступников".

"Бизнес-сообщество приветствует поддержку генеральным прокурором Летицией Джеймс наших усилий по защите клиентов и сотрудников от кражи личных данных", - сказала Кэтрин Уайлд, президент и генеральный директор Партнерства для Нью-Йорка. "Мы надеемся на сотрудничество с ее офисом в борьбе с незаконной кибер-активностью, жертвами которой все чаще становятся частные лица и компании".

"Приятно видеть, что генеральный прокурор Нью-Йорка предоставляет инструменты и практические ресурсы, чтобы помочь малым предприятиям справиться с участившимися атаками в сфере кибербезопасности", - сказал Яэль Грауэр, руководитель программы Consumer Reports' Security Planner. "Это руководство содержит ценную информацию о важности шифрования, многофакторной аутентификации, очистки устаревших данных и учетных записей, а также о других шагах, которые помогут компаниям соблюдать закон и противостоять угрозам безопасности".

"Жители Нью-Йорка полагаются на цифровые инструменты в каждом аспекте своей жизни и работы, и сейчас как никогда важно, чтобы они были уверены в том, что могут безопасно их использовать", - сказала Джули Сэмюэлс, президент и исполнительный директор Tech:NYC. "Мы благодарим Генерального прокурора за вдумчивое рассмотрение этого вопроса и выпуск руководства, которое защищает личные и финансовые данные жителей Нью-Йорка таким образом, чтобы это было выгодно как для безопасности клиентов, так и для ведения бизнеса".

Генеральный прокурор Джеймс предпринял ряд мер по привлечению компаний к ответственности за низкий уровень кибербезопасности. В декабре 2022 г. генеральный прокурор Джеймс взыскал 200 тыс. долл. с производителя студенческих шапок и халатов Herff Jones за неспособность защитить персональные данные потребителей. В октябре 2022 г. генеральный прокурор Джеймс объявил о заключении соглашения на сумму 1,2 млн. долл. с владельцем компаний SHEIN и Zoetop за неспособность должным образом справиться с утечкой данных, в результате которой были скомпрометированы персональные данные миллионов потребителей по всей стране. В июне 2022 г. генеральный прокурор Джеймс взыскал с компании Wegmans 400 тыс. долл. и обязал ее повысить безопасность хранения данных после того, как в результате утечки информации была раскрыта личная информация потребителей. В марте 2022 г. генеральный прокурор Джеймс выпустил предупреждение для потребителей, в котором рекомендовал клиентам компании T-Mobile принять соответствующие меры для защиты своих персональных данных после утечки информации. 

Данное руководство было выпущено Бюро Интернета и технологий, а приведенные в нем расследования были проведены Бюро Интернета и технологий.