OneMain: multa di 4,25 milioni di dollari per violazione della sicurezza informatica

Il Dipartimento dei servizi finanziari di New York (NYDFS) ha recentemente pubblicizzato una multa di 4,25 milioni di dollari contro OneMain Financial Group LLC. Il motivo alla base di questa misura rigorosa si riferisce alle presunte violazioni del regolamento sulla sicurezza informatica, noto anche come 23 NYCRR Part 500, da parte di OneMain.

Violazioni specifiche dell'integrità della sicurezza informatica

NYDFS accusa OneMain di non aver implementato le precauzioni necessarie per gestire i rischi associati a fornitori di servizi di terze parti. Affermano inoltre che l'azienda non ha supervisionato adeguatamente i privilegi di accesso e non è riuscita a stabilire un protocollo formale per lo sviluppo della sicurezza delle applicazioni. Tali sviste avrebbero amplificato la suscettibilità dell'azienda alle minacce informatiche, a seguito dell'attuazione del regolamento sulla sicurezza informatica nel marzo 2017.

Rilevanza del regolamento sulla sicurezza informatica e dichiarazioni del NYDFS

Il regolamento sulla sicurezza informatica (23 NYCRR Part 500) ha stabilito un precedente per altri organismi di regolamentazione, tra cui la Federal Trade Commission degli Stati Uniti, vari stati, la National Association of Insurance Commissioners e la CSBS Nonbank Model Data Security Law. Il sovrintendente del NYDFS Adrienne A. Harris sottolinea l'importanza di questo regolamento nel plasmare il quadro fondamentale attraverso il quale le aziende autorizzate devono operare per salvaguardare i propri sistemi informativi e i dati dei clienti. Harris ha inoltre aggiunto: "Questo accordo sottolinea il nostro impegno a ritenere responsabili i licenziatari, come OneMain, in particolare coloro che gestiscono dati finanziari sensibili. Il nostro obiettivo è garantire che vengano prese tutte le misure necessarie per proteggere i dati dei newyorkesi".

Le mancanze specifiche e le conseguenze

Secondo quanto riferito, OneMain, un prestatore autorizzato e gestore di mutui specializzato in prestiti non prime, ha faticato a gestire i privilegi di accesso degli utenti in modo efficace. Questo errore ha consentito agli utenti amministratori di condividere gli account, compromettendo la capacità di individuare gli attori malintenzionati. Insieme all'uso di password predefinite durante l'onboarding degli utenti, il rischio di accesso non autorizzato è aumentato. Il NYDFS ha identificato ulteriori problemi nella politica di sicurezza dell'azienda, che mancava di una solida metodologia che coprisse l'intero ciclo di vita dello sviluppo del software. Il framework di amministrazione del progetto sviluppato internamente non ha affrontato adeguatamente gli aspetti essenziali del ciclo di vita dello sviluppo del software, portando a una maggiore vulnerabilità agli incidenti informatici. Inoltre, pur disponendo di una politica per la gestione dei rischi dei fornitori di terze parti, è stato riscontrato che OneMain ritardava lo svolgimento della necessaria due diligence per alcuni fornitori ad alto e medio rischio. Inoltre, anche dopo diversi incidenti informatici istigati dalla cattiva gestione di informazioni riservate da parte dei fornitori e controlli di sicurezza informatica inadeguati, secondo quanto riferito OneMain non è riuscita ad aggiornare di conseguenza le valutazioni di rischio di questi fornitori.