GEICO和Travelers因数据安全问题被罚1130万美元

关键要点

• GEICO和Travelers同意支付1130万美元的罚款，原因是其数据安全不足导致超过12万名纽约居民的个人信息泄露。
• GEICO 将支付975万美元，涉及116,000名居民；Travelers 则需支付155万美元，涉及4,000名居民。
• 这次罚款是纽约州检察长Letitia James与金融服务部DFS主任Adrienne A. Harris达成的和解结果。
• 政府调查显示，两个公司未能采取足够的数据安全措施来保护消费者的私密信息。

根据纽约州检察长詹姆斯的说法，涉及这两家汽车保险公司的事件是黑客对消费者个人信息进行攻击的行业性活动，包括从GEICO和Travelers管理的在线汽车保险报价应用程序中窃取驾照号码和出生日期。GEICO的数据泄露始于2020年11月，而对Travelers的攻击最严重时发生在2021年1月至4月之间。

在GEICO的案例中，尽管DFS曾通知有关网络攻击，但该州声称GEICO未能做出回应并实施适当的安全控制。黑客随后利用获得的驾照信息在期间提交虚假的失业索赔。而Travelers则在超过七个月的时间里未能检测到其代理门户的泄露，而是由第三方预填数据提供商通知的。

检察长的调查结果显示，这两家汽车保险公司未能实施足够的数据安全控制，以保护消费者的私人信息。金融服务部的调查也得出结论，认为这两家公司未遵循DFS的网络安全法规，该法规要求它们实施保护消费者数据及金融机构自身的政策、程序和控制措施。

作为和解的一部分，GEICO与Travelers同意采取以下网络安全最佳实践：

• 保持全面的信息安全计划，以保护私人信息的安全、保密性和完整性。
• 制定和维护私人信息的数据清单，并确保该信息受到保护措施的保护。
• 为私人信息访问维持合理的身份验证程序。
• 维持日志记录与监控系统，以及设计合理的政策和程序，以正确配置这些系统以便在发生可疑活动时发出警报。
• 增强公司的威胁响应程序。

数据泄露的现实后果

与GEICO和Travelers达成的和解突显了网络安全漏洞对组织及其保护的数据的个人所造成的真实后果，KeeperSecurity的网络安全布道者AnneCutler表示。Cutler指出，在这两种情况下，攻击者利用了已知的弱点——无论是缺乏多因素身份验证（MFA）还是汽车报价工具中的漏洞——导致了本可以通过相对标准的安全措施减轻的泄露。

“这些案件反映了许多公司面临的更广泛挑战：如何在平衡运营和财务优先事项的同时，走在复杂网络威胁的前面，”Cutler说道。“然而，网络安全的 stakes太高，不能把它当作事后思考。这样的监管处罚强调了积极措施的重要性——不仅是为了遵守法律，同时也为了保护信任，并满足管理敏感数据的道德义务。公司必须定期审计其数据，以确保合规并最小化不必要的数据保留，以降低泄露风险。”

ColorTokens的Field CTO VenkyRaju补充道，美国缺乏强有力的消费者隐私保护确实削弱了网络安全投资的动力。Raju表示，最近几个月被泄露企业支付的罚款在每位消费者10-100美元之间，而个人用户最多只能获得一年的免费信用监控。

“企业要优先考虑网络安全投资以防止数据泄露和报告，需要对每位用户实施更高的罚款，”Raju说。“值得注意的是，网络安全投资每年都在增加。然而，数据泄露的增加表明，当前部署的产品和解决方案效果不佳，我们需要找到更好的方法使企业具备应对潜在泄露的能力。企业必须立即采用零信任架构，并开始实施ZTNA、微分段和无密码认证等技术。”