L'organizzazione finanziaria Carnival pagherà una somma di 5 milioni di dollari in sanzioni per aver commesso violazioni informatiche contro l'organismo di regolamentazione finanziaria dello Stato di New York.
Carnival Corp. Subisce Multiple Violazioni e Sanzioni in Materia di Sicurezza Informatica
Carnival Corp., il più grande operatore di crociere al mondo, ha subito una serie di incidenti informatici negli ultimi anni. Il Dipartimento di Servizi Finanziari dello Stato di New York (DFS) ha inflitto una multa di 5 milioni di dollari a Carnival per violazioni multiple in materia di sicurezza informatica.
Le violazioni sono state commesse in relazione a quattro incidenti informatici, tra cui due attacchi di tipo ransomware, tra il 2019 e il 2021. L'indagine del DFS ha rilevato che Carnival non ha implementato l'autenticazione a più fattori, non ha segnalato prontamente il primo incidente del 2019 alle autorità di regolamentazione e non ha fornito una formazione adeguata sulla sicurezza informatica ai dipendenti.
Il primo incidente si è verificato nel maggio 2019, quando Carnival è stato colpito da una serie di attacchi phishing o forza bruta. Nel marzo 2021, un quarto incidente informatico, che ha interessato le compagnie di crociera Carnival, Holland e Princess, è stato causato da un attacco phishing. In seguito, nel agosto 2020 e gennaio 2021, Carnival ha segnalato attacchi di tipo ransomware.
Gli attori minacciosi hanno accesso a 124 account di posta elettronica dei dipendenti ospitati principalmente su una piattaforma Microsoft Office 365 e hanno inviato email phishing ad altri account dei dipendenti. Non è chiaro chi fosse il Chief Information Security Officer (CISO) di Carnival Corp. durante questi incidenti, poiché non ci sono informazioni disponibili sul nome del CISO che ha creato più certificazioni insufficienti per gli anni 2018, 2019 e 2020.
Carnival ha rinunciato alla sua licenza per vendere assicurazioni a New York come risultato dell'indagine del DFS. L'accordo con gli Avvocati Generali multistato richiede a Carnival di implementare un piano di risposta e notifica delle violazioni, la formazione sulla sicurezza della posta elettronica, l'autenticazione a più fattori per l'accesso remoto alla posta elettronica e di sottoporsi a una valutazione indipendente della sicurezza delle informazioni.
L'accordo risolve le indagini sugli incidenti precedenti del 2019 e 2021 che hanno comportato l'accesso non autorizzato agli account di posta elettronica dei dipendenti e due attacchi di tipo ransomware del passato. Carnival ha raggiunto un accordo separato di 1,25 milioni di dollari con 45 Avvocati Generali statali e locali degli Stati Uniti.
Nonostante questi intoppi, Carnival ha un forte controllo alla livello del Consiglio di Amministrazione in materia di sicurezza informatica e ha assunto personale di alto livello per sovrintendere alla funzione del CIO a livello corporativo. Carnival
Leggi anche:
- Capitale europea dell'imprenditorialità giovanile al Gen-E Festival 2025 ad Atene
- Sidley Austin prende l'iniziativa, danzando verso il regno raggiungibile di cure mediche convenienti
- Tre donne anziane, affezionatamente chiamate nonne di Kaha Aden, costituiscono una parte significativa della comunità.
- Licenze di scommesse sportive per dispositivi mobili concesse a DraftKings e Circa per il lancio a dicembre nel Missouri
