บริษัทประกันภัยในสหรัฐฯ ถูกปรับ 11.3 ล้านดอลลาร์ จากการไม่ปฏิบัติตามมาตรการรักษาความปลอดภัยข้อมูล

424/67 (IT) ประจำวันพฤหัสบดีที่ 28 พฤศจิกายน 2567

 รัฐนิวยอร์กสั่งปรับบริษัทประกันภัยรถยนต์ 2 แห่ง คือ GEICO และ Travelers Indemnity รวมมูลค่า 11.3 ล้านดอลลาร์ จากความล้มเหลวในการรักษาความปลอดภัยของข้อมูลลูกค้า ส่งผลให้ผู้ก่อภัยคุกคามทางไซเบอร์สามารถขโมยข้อมูลส่วนบุคคลของผู้ใช้กว่า 12,000 ราย และนำไปใช้ยื่นคำร้องขอเงินชดเชยการว่างงานแบบฉ้อโกงในช่วงการระบาดของโควิด-19

เลติเทีย เจมส์ อัยการสูงสุดของรัฐนิวยอร์ก และ เอเดรียน เอ. แฮร์ริส ผู้อำนวยการกรมบริการทางการเงินของรัฐนิวยอร์ก ระบุว่าความล้มเหลวในการรักษาความปลอดภัยของข้อมูลของทั้งสองบริษัท ได้ละเมิดกฎระเบียบของรัฐที่กำหนดให้มีมาตรการป้องกันข้อมูลส่วนบุคคลอย่างเพียงพอ โดยเหตุการณ์การโจมตีบริษัท GEICO เกิดขึ้นในเดือนพฤศจิกายน 2020 แฮกเกอร์สามารถเจาะระบบสำหรับเสนอราคาประกันภัยรถยนต์ของ GEICO ซึ่งเปิดให้ใช้งานบนเว็บไซต์ ส่งผลให้หมายเลขใบอนุญาตขับขี่ของผู้ใช้งานถูกขโมยไปอย่างผิดกฎหมาย ซึ่งหน่วยงานควบคุมหรือกำกับดูแลภาคประกันภัยระบุว่า แม้ GEICO จะได้รับแจ้งเตือนเกี่ยวกับแคมเปญโจมตีทางไซเบอร์ทั่วแล้ว แต่บริษัทยังขาดการตรวจสอบระบบอย่างครอบคลุมเพื่อป้องกันและตรวจจับการโจมตีในอนาคต และการโจมตีครั้งที่สองในระบบเสนอราคาของตัวแทนประกันภัย ส่งผลให้ข้อมูลส่วนบุคคลของผู้ใช้งานชาวนิวยอร์กกว่า 116,000 ราย ถูกเปิดเผย และเหตุการณ์โจมตีบริษัท Travelers Indemnity เกิดขึ้นในเดือนเมษายน 2021 แฮกเกอร์ได้โจมตีระบบสำหรับคำนวณเบี้ยประกันภัย ที่ใช้โดยตัวแทนอิสระ ส่งผลให้ข้อมูลใบอนุญาตขับขี่ของลูกค้าราว 4,000 ราย รั่วไหลออกมา แม้ว่า Travelers จะได้รับการแจ้งเตือนหลายครั้งเกี่ยวกับความเสี่ยงของการโจมตี แต่กลับยังไม่มีมาตรการป้องกันที่เพียงพอ ซึ่งทั้งสองบริษัทถูกสั่งลงโทษเป็นค่าปรับ โดยบริษัท GEICO ถูกสั่งปรับ 9.75 ล้านดอลลาร์ และ Travelers ถูกสั่งปรับ 1.55 ล้านดอลลาร์ เหตุการณ์นี้เป็นเครื่องเตือนใจว่าองค์กรต้องให้ความสำคัญกับการป้องกันภัยคุกคามทางไซเบอร์และรักษามาตรฐานความปลอดภัยข้อมูลที่สูงขึ้น ไม่เพียงเพื่อหลีกเลี่ยงค่าปรับมหาศาล แต่ยังเพื่อรักษาความเชื่อมั่นของผู้บริโภคในยุคที่ข้อมูลกลายเป็นเป้าหมายสำคัญของอาชญากรรมไซเบอร์

แหล่งข่าว https://www.darkreading.com/cybersecurity-operations/geico-travelers-fined-lax-data-security