Вместо выкупа вымогателям компания заплатит штраф США

Американская круизная компания Carnival оштрафована на $5 млн. за «значительные нарушения кибербезопасности» после четырех кибератак с 2019 по 2021 год, в результате которых был раскрыт большой объем конфиденциальных данных клиентов. Согласно заявлению Департамента , два нарушения были связаны с атакой программы-вымогателя. Однако, Carnival уже выплатила штраф $1,25 млн. по одному из нарушений.

По словам Департамента финансов Нью-Йорка, Carnival нарушила государственное регулирование кибербезопасности , не использовав многофакторную аутентификацию , которая затруднила бы доступ злоумышленника к внутренней сети.

Также Carnival не сообщила об одном нарушении и не провела обучение сотрудников по вопросам кибербезопасности. Carnival впервые стало известно о подозрительной активности в системе электронной почты в мае 2019 года, за 10 месяцев до того, как Carnival сообщила о нарушении. Из-за сбоев Carnival подавала ненадлежащие сертификаты соответствия требованиям кибербезопасности с 2018 по 2020 год.

В заявлении также указано, что Carnival не сообщила о нарушениях кибербезопасности, а конфиденциальность и защита данных были «чрезвычайно важны» для компании.