T-Mobile yerleşti Federal İletişim Komisyonu (FCC) ile 31,5 milyon doların üzerinde bir bedel karşılığında bir dizi ihlal 2021, 2022 ve 2023’te meydana geldi.
Bu uzlaşma tutarının yarısı, yani 15,75 milyon dolar, siber güvenlik yatırımı olarak şirkete geri aktarılacak. Fon, güvenlik kusurlarını ortadan kaldırmak ve siber tehditlere karşı dayanıklılığı artırmak için kullanılacak. Gerisi idari para cezasıdır.
İhlaller ABD çapında milyonlarca müşteriyi etkiledi ve FCC’nin, şirketin müşteri verilerini koruma görevini yerine getirip getirmediği, müşterinin izni olmadan bireysel olarak tanımlanabilir müşteri özel ağ bilgilerine (CPNI) erişime izin verip vermediği ve gevşek davranıp davranmadığı konusunda bir soruşturma başlatmasına yol açtı. güvenlik uygulamaları.
İhlaller
İlk olay 21 Ağustos 2021’de bir bilgisayar korsanının şirketin ağına ve isim, adres, doğum tarihi, sosyal güvenlik numarası, ehliyet numarası, cihaz tanımlayıcı ve hesap PIN’i gibi müşteri verilerine erişmesiyle meydana geldi. Bir başka tehdit aktörü başarıyla ele geçirdi. yönetim platformuna erişim T-Mobile2022’nin sonlarına doğru müşteri bilgilerini içeren mobil sanal ağ operatörü (MVNO).
2023’ün başlarında bir siber suçlu hırsızlık yaptı T-Mobile hesap kimlik bilgilerine sahip oldular ve COVID-19 salgını sırasında uzaktan erişimin etkinleştirildiği ve belirli müşteri verilerini görüntülemelerine olanak tanıyan bir ön satış uygulamasını ele geçirdiler.
Ocak 2023’te, yanlış yapılandırılmış bir izin ayarı, bir tehdit aktörünün müşteri hesabı verilerini ele geçirmesine olanak tanıdı.
Ceza, ABD Hazinesine ödenecek T-Mobile Siber güvenlik programını geliştirmek ve tüketicileri gelecekte benzer ihlallerden korumak için bir uyumluluk planı uygulamak için önümüzdeki iki yıl içinde 15.750.000 ABD Doları harcaması gerekiyor.
T-Mobile Siber güvenlik konularında Yönetim Kurulu’na rapor verecek Bilgi Güvenliği Baş Sorumlusu atayacak. Ayrıca, ihlallerin etki yarıçapını azaltmak için sıfır güven güvenlik çerçevesi çalışmasını benimsemeyi ve ağının güvenliğini artırmak için kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulama (MFA) uygulamayı hedefliyor.
Şirket ayrıca bilgi güvenliği uygulamalarına ilişkin bağımsız üçüncü taraf değerlendirmeleri yürütmeye karar verdi.
FCC bu anlaşmayı “çığır açıcı” olarak nitelendiriyor ve bunun diğer şirketlere sistemlerini güçlendirmezlerse sonuçları olacağına dair bir mesaj göndereceğini umuyor. Komisyon daha önce ihlal soruşturmalarını çözmek için Verizon’un TracFone’uyla 16 milyon dolar ve AT&T ile 13 milyon dolar karşılığında anlaşmıştı.
İle T-Mobile Müşteri tabanını büyütmek için sürekli olarak daha fazla şirket satın alan şirket, artık eskisinden daha fazla veriye sahip durumda ve bu da su geçirmez bir güvenlik sisteminin önemini vurguluyor.
Bugünkü anlaşmada ileri sürülen geniş kapsamlı şartlar, ülke çapında milyonlarca müşterinin hassas verilerini barındıran ağların korunmasında ileriye doğru atılmış önemli bir adımdır. T-Mobile ve diğer telekomünikasyon hizmet sağlayıcıları gibi ulusal güvenlik ve tüketiciyi koruma çıkarlarının örtüştüğü bir alanda faaliyet gösteren şirketlerle, ulusal siber güvenlik duruşumuzu iyileştirmek ve Amerikalıların gelecekteki risklerini önlemeye yardımcı olmak için telekomünikasyon ağlarında kritik teknik değişikliklerin yapılmasını sağlamaya odaklandık. ‘hassas veriler. Bu taahhütlerin uygulanmasından T-Mobile’ı sorumlu tutmaya devam edeceğiz.
Loyaan A. Egal, İcra Dairesi Başkanı ve Gizlilik ve Veri Koruma Görev Gücü Başkanı, Eylül 2024