EyeMed Vision Care遭遇45百万美元罚款

关键要点

纽约州金融服务部宣布，眼科福利公司EyeMed Vision Care因其在2020年的电子邮件黑客事件和数据泄露，面临450万美元的罚款。这次处罚是因其多处安全违规行为，这些行为“导致了”数据的暴露。

根据调查报告，州政府发现：EyeMed缺乏合规的网络安全风险评估，未能有效评估和应对存储在其网络上的信息系统和非公开信息的风险，这让EyeMed很容易受到威胁者的攻击。

这项和解是在纽约金融服务部的网络安全法规下宣布的，该法规自2017年3月起生效，并为其他监管机构提供了榜样，包括联邦贸易委员会、多个州以及其他安全模型。该法律规定了行业合规、消费者数据保护、网络安全控制以及网络安全事件的及时报告等标准。DFS对EyeMed的调查发现其违反了多个要求。

金融服务监督员Adrienne A Harris在声明中表示：“确保消费者的非公开信息免受潜在犯罪活动的威胁至关重要。此次和解展现了DFS在保护消费者和确保金融机构免受网络威胁方面持续的承诺。”

DFS在收到EyeMed在2020年12月发出的泄露通知后，启动了对其的调查，该泄露最早在五个月前被发现。一名攻击者利用获得访问权限的员工电子邮件账号，向其通讯录中的联系人发送钓鱼邮件。

根据 早期与纽约州的和解，EyeMed因调查而被罚款60万美元，揭示了其泄露通知中的几个不一致之处。

首先，EyeMed未透露攻击者在被发现的持续时间内从被攻陷的账户发送了至少2000封钓鱼邮件。钓鱼邮件假装成提案请求，旨在诱骗受害者分享其凭据。

此外，IT团队在7月1日时就已接到客户的询问，并发现了可疑的传输行为。尽管EyeMed之前报告称在被发现的当天就已阻止和保护了账户访问，但调查发现黑客攻击实际上早在发现之前的一周就开始了。

此次事件共导致210万名现有及曾经享受眼科福利的保险客户的数据受损。这些数据包括视力与健康保险账户及身份号码、医疗补助或医疗保险号码、驾照、政府身份证明以及出生或结婚证明。部分成员的社会安全号码、财务数据、诊断、健康状况、治疗和其他敏感数据也遭泄露。

调查揭示保险公司严重的安全失误

DFS对EyeMed的调查结果显示出比先前披露的更深层次的安全失误。

审计发现，EyeMed违反了DFS的网络安全法规，因为未能在其电子邮件环境中实施多因素认证MFA。州法规要求任何“从外部网络访问被覆盖实体内部网络的用户必须使用MFA。”

报告显示：“在网络事件发生时，EyeMed正处于将MFA推广至其电子邮件环境的过程中，但尚未在所需的邮箱中实施MFA。”

此外，EyeMed在被黑客攻击前18个月将其电子邮件系统切换至Microsoft Office 365。尽管规定于2018年3月生效，但MFA的实施直到2020年3月才开始，延迟了两年。在MFA未完全实施的期间，O365访问了内部网络。MFA项目直到2020年9月才完成。

DFS指出：“MFA的实施延迟使EyeMed的信息系统及其消费者的非公开信息容易受到威胁者的攻击。”

调查还发现，保险公司未能限制用户的访问权限。实际上，九名员工被