Фирма не соблюдала меры защиты и не сообщила о кибератаках
Американская круизная компания Carnival оштрафована на $5 млн. за «значительные нарушения кибербезопасности» после четырех кибератак с 2019 по 2021 год, в результате которых был раскрыт большой объем конфиденциальных данных клиентов. Согласно заявлению Департамента , два нарушения были связаны с атакой программы-вымогателя. Однако, Carnival уже выплатила штраф $1,25 млн. по одному из нарушений.
По словам Департамента финансов Нью-Йорка, Carnival нарушила государственное регулирование кибербезопасности , не использовав многофакторную аутентификацию , которая затруднила бы доступ злоумышленника к внутренней сети.
Также Carnival не сообщила об одном нарушении и не провела обучение сотрудников по вопросам кибербезопасности. Carnival впервые стало известно о подозрительной активности в системе электронной почты в мае 2019 года, за 10 месяцев до того, как Carnival сообщила о нарушении. Из-за сбоев Carnival подавала ненадлежащие сертификаты соответствия требованиям кибербезопасности с 2018 по 2020 год.
В заявлении также указано, что Carnival не сообщила о нарушениях кибербезопасности, а конфиденциальность и защита данных были «чрезвычайно важны» для компании.