Pagtutulungan ng FTC at 50 Attorney General Para sa Pagsasaayos ng Marriott sa Data Breach
pinagmulan ng imahe:https://mauinow.com/2024/10/09/state-of-hawaii-takes-part-in-52-million-multi-state-settlement-with-marriott-for-data-breach/
Nakapag-ayos na ang Federal Trade Commission (FTC) at Marriott International Inc. bilang resulta ng isang malawak na imbestigasyon sa isang malaking data breach na naganap sa isa sa mga database ng kanilang guest reservation.
Ayon sa ulat ng Department of Commerce and Consumer Affairs ng estado ng Hawai‘i, makakatanggap ang estado ng Hawai‘i ng $438,045 mula sa $52 milyong pag-ayos na naabot ng isang koalisyon ng 50 attorney general laban sa Marriott International Inc.
Ito ay bilang resulta ng isang malawak na imbestigasyon sa isang malaking multi-taong data breach na naganap sa isang guest reservation database ng kumpanya.
Ang FTC ay ating nakipag-ugnayan nang malapit sa mga estado sa buong imbestigasyon, at nakapag-ayos ito ng isang parallel settlement kasama ang Marriott, ayon sa departamento.
Sa ilalim ng kasunduan kasama ang mga attorney general, pumayag ang Marriott na palakasin ang kanilang mga kasanayan sa seguridad ng data gamit ang isang dynamic risk-based approach, magbigay ng ilang proteksyon sa mga mamimili, at gumawa ng isang $52 milyong bayad sa mga estado.
Nakuha ng Marriott ang Starwood noong 2016 at kumuha ng kontrol sa network ng computer ng Starwood sa parehong taon.
Gayunpaman, mula Hulyo 2014 hanggang Setyembre 2018, ang mga nanghihimasok sa sistema ay hindi napansin.
Dahil dito, nagkaroon ng paglabag sa 131.5 milyong mga rekord ng bisita mula sa mga customer sa Estados Unidos.
Kabilang sa mga naapektuhang rekord ang impormasyon sa pakikipag-ugnayan, kasarian, mga petsa ng kapanganakan, impormasyon mula sa lumang Starwood Preferred Guest, impormasyon ng reservation, at mga kagustuhan sa paglagi sa hotel, pati na rin ang ilang unencrypted na mga numero ng pasaporte at hindi pa nag-expire na impormasyon ng card sa pagbabayad.
Agad na naglunsad ang isang koalisyon ng 50 attorney general ng isang multistate investigation matapos ipahayag ang paglabag sa database ng Starwood.
Ayon sa DCCA ng Hawai‘i, inaayos ng settlement ang mga alegasyon ng mga attorney general na ang Marriott ay lumabag sa mga batas ng proteksyon ng mamimili ng estado, mga batas ng proteksyon ng personal na impormasyon, at, kung naaangkop, mga batas ng abiso sa paglabag sa pamamagitan ng hindi pagpapatupad ng mga makatwirang hakbang sa seguridad ng data at hindi pag-aayos ng mga kakulangan sa seguridad ng data.
“Kapag ang mga kumpanya ay pumipili na mangolekta at mag-imbak ng data ng mamimili, dapat silang gumawa ng mga hakbang upang ito ay mai-secure,” sabi ni Mana Moriarty, Executive Director ng Office of Consumer Protection.
“Patuloy naming hahawakan ang mga negosyo na hindi nagtupad sa mga responsibilidad na ito.”
Sa ilalim ng mga tuntunin ng kasunduan, pumayag ang Marriott na palakasin at patuloy na pagbutihin ang kanilang mga kasanayan sa cybersecurity.
Kabilang sa mga tiyak na hakbang na ito ang:
Pagpapatupad ng isang komprehensibong Information Security Program.
Ito ay kinabibilangan ng mga bagong mandato sa buong security program, tulad ng pag-incorparate ng zero-trust principles, regular na reporting ng seguridad sa pinakamataas na antas sa loob ng kumpanya, kabilang ang Chief Executive Officer, at pinalawak na pagsasanay sa mga empleyado sa paghawak at seguridad ng data.
Mga kinakailangan sa minimalisasyon at pagtatapon ng data, na magreresulta sa mas kaunting data ng mamimili na nakolekta at napanatili.
Mga tiyak na kinakailangan sa seguridad na may kaugnayan sa data ng mamimili, kabilang ang hardening ng mga komponent, pagmamanman ng mga asset, encryption, segmentation upang limitahan ang kakayahan ng isang intruder na lumipat sa isang sistema, pamamahala ng patch upang matiyak na ang mga kritikal na security patches ay nalalapat sa tamang oras, detection ng intrusion, kontrol sa pag-access ng user, at logging at monitoring upang masubaybayan ang paggalaw ng mga file at user sa loob ng network.
Pagsusuri at pangangasiwa ng vendor at franchisee, na may espesyal na pagbibigay-diin sa mga risk assessments para sa “Mga Kritikal na IT Vendors,” at malinaw na nakasaad na mga kontrata sa mga cloud provider.
Sa hinaharap, kung ang Marriott ay bumili ng ibang entidad, kinakailangan nitong agad na suriin ang information security program ng nakuha at bumuo ng mga plano upang matugunan ang mga natukoy na puwang o kakulangan sa seguridad bilang bahagi ng integrasyon sa network ng Marriott.
Isang independiyenteng assessment ng ikatlong partido ng information security program ng Marriott tuwing dalawampung taon para sa karagdagang oversight sa seguridad.
Ang mga tuntunin ng settlement na ito ay nakabatay sa isang mahusay na binuo na risk-based approach kung saan ang Marriott ay kailangang magsagawa ng taunang assessment ng risk sa antas ng enterprise, ngunit kinakailangan din nitong magsagawa ng mga pagsusuri ng risk sa buong taon para sa mga pagbabago sa mga kontrol ng seguridad.
Kabilang sa mga ongoing na pagsusuri ng risk, dapat nitong talakayin ang mga pamantayan ng “pinsala sa iba” – na kinabibilangan ng potensyal na pinsala sa mga mamimili.
Bilang bahagi ng settlement, magbibigay ang Marriott sa mga mamimili ng mga tiyak na proteksyon, kabilang ang opsyon sa pagtanggal ng data, kahit na wala silang karapatan sa ngayon sa ilalim ng batas ng estado.
Dapat ding mag-alok ang Marriott ng multifactor authentication sa mga mamimili para sa kanilang mga loyalty rewards account, tulad ng Marriott Bonvoy, pati na rin ang pagsusuri ng mga account na iyon kung may suspicious activity.
Ang Connecticut, Maryland, at Oregon, kasama ang Distrito ng Columbia, Illinois, Louisiana, Massachusetts, North Carolina, at Texas, ang nagpunyagi sa multistate investigation, na tinulungan ng Executive Committee ng Alabama, Arizona, Arkansas, Florida, Nebraska, New Jersey, New York, Ohio, Pennsylvania, at Vermont.