- 22,974
- 46
- 8 Ноя 2022
FTC объяснила Nomad, почему врать про кибербезопасность в США очень дорого.
Федеральная торговая комиссия США (FTC) предъявила претензии компании Illusory Systems, также известной как Nomad, из-за серьёзных нарушений в сфере кибербезопасности. Согласно заявлению комиссии, халатность в защите данных позволила злоумышленникам воспользоваться уязвимостью в программном коде и похитить у пользователей 186 миллионов долларов. Теперь компания обязана вернуть средства пострадавшим и привести свои процессы безопасности в соответствие с установленными требованиями.
Согласно заявлению FTC, в июне 2022 года Nomad внедрила обновление, в котором содержалась критическая ошибка. Уже через несколько недель неизвестные начали активно использовать эту брешь, чтобы выводить средства. При этом система реагирования на инциденты оказалась настолько слабой, что компания не смогла вовремя остановить атаку, что и привело к масштабному ущербу.
Особое внимание FTC уделила несоответствию между публичными обещаниями Nomad и фактическим состоянием дел. Несмотря на заявления о приоритете безопасности , на практике не применялись даже базовые меры — не использовались защищённые методы программирования, отсутствовали налаженные процессы получения уведомлений об уязвимостях , а также игнорировались распространённые технологии, которые могли бы минимизировать риски.
Кроме того, ранее компания уже получала предупреждения о необходимости тщательного тестирования и обеспечения должного уровня защиты. Однако, как подчёркивают представители комиссии, Illusory Systems не учла эти рекомендации и не обеспечила надлежащий уровень контроля, в том числе за персоналом, ответственным за безопасность.
В рамках предложенного соглашения компания обязана внедрить полноценную программу информационной безопасности, пройти независимую оценку этих процессов не реже одного раза в два года, а также вернуть пользователям средства, которые удалось частично восстановить после инцидента. Кроме того, ей запрещено давать вводящие в заблуждение заявления о безопасности своих сервисов.
FTC одобрила жалобу и проект соглашения единогласным решением. Документ будет опубликован в Федеральном реестре, и в течение 30 дней любой желающий сможет оставить комментарии. После этого комиссия примет решение о финальном утверждении условий. Нарушение требований, изложенных в итоговом документе, будет рассматриваться как правонарушение и может повлечь за собой штрафы в десятки тысяч долларов за каждый случай.
Федеральная торговая комиссия США (FTC) предъявила претензии компании Illusory Systems, также известной как Nomad, из-за серьёзных нарушений в сфере кибербезопасности. Согласно заявлению комиссии, халатность в защите данных позволила злоумышленникам воспользоваться уязвимостью в программном коде и похитить у пользователей 186 миллионов долларов. Теперь компания обязана вернуть средства пострадавшим и привести свои процессы безопасности в соответствие с установленными требованиями.
Согласно заявлению FTC, в июне 2022 года Nomad внедрила обновление, в котором содержалась критическая ошибка. Уже через несколько недель неизвестные начали активно использовать эту брешь, чтобы выводить средства. При этом система реагирования на инциденты оказалась настолько слабой, что компания не смогла вовремя остановить атаку, что и привело к масштабному ущербу.
Особое внимание FTC уделила несоответствию между публичными обещаниями Nomad и фактическим состоянием дел. Несмотря на заявления о приоритете безопасности , на практике не применялись даже базовые меры — не использовались защищённые методы программирования, отсутствовали налаженные процессы получения уведомлений об уязвимостях , а также игнорировались распространённые технологии, которые могли бы минимизировать риски.
Кроме того, ранее компания уже получала предупреждения о необходимости тщательного тестирования и обеспечения должного уровня защиты. Однако, как подчёркивают представители комиссии, Illusory Systems не учла эти рекомендации и не обеспечила надлежащий уровень контроля, в том числе за персоналом, ответственным за безопасность.
В рамках предложенного соглашения компания обязана внедрить полноценную программу информационной безопасности, пройти независимую оценку этих процессов не реже одного раза в два года, а также вернуть пользователям средства, которые удалось частично восстановить после инцидента. Кроме того, ей запрещено давать вводящие в заблуждение заявления о безопасности своих сервисов.
FTC одобрила жалобу и проект соглашения единогласным решением. Документ будет опубликован в Федеральном реестре, и в течение 30 дней любой желающий сможет оставить комментарии. После этого комиссия примет решение о финальном утверждении условий. Нарушение требований, изложенных в итоговом документе, будет рассматриваться как правонарушение и может повлечь за собой штрафы в десятки тысяч долларов за каждый случай.
- Источник новости
- www.securitylab.ru
