غرامة 13 مليون دولار من لجنة الاتصالات الفيدرالية على شركة AT&T قد تكون بمثابة قمة جبل جليدي قانوني باهظ التكلفة
ستدفع شركة AT&T غرامة قدرها 13 مليون دولار إلى لجنة الاتصالات الفيدرالية الأمريكية (FCC) لتسوية تحقيق الهيئة الرقابية في خرق سحابي أدى إلى كشف سجلات الهاتف وبيانات ما يقرب من 9 ملايين عميل.
وقع بائع لم يتم الكشف عن اسمه لعملاء AT&T Mobility ضحية لاختراق البيانات في أوائل عام 2023. وتضمنت البيانات معلومات المشتركين من عام 2015 إلى عام 2017. وقالت لجنة الاتصالات الفيدرالية إن شركة AT&T فشلت في حماية بيانات العملاء وفشلت في تلبية المتطلبات التنظيمية لإعادة أو تدمير معلومات العملاء قبل وقت طويل من الاختراق.
قالت رئيسة لجنة الاتصالات الفيدرالية جيسيكا روزينورسيل في بيان: “يوضح قانون الاتصالات أن شركات الاتصالات ملزمة بحماية خصوصية وأمان بيانات العملاء، وأن المسؤولية تكتسب معنى جديدًا في حالة اختراق البيانات في العصر الرقمي”. “يتعين على شركات الاتصالات اتخاذ احتياطات إضافية نظرًا لقدرتها على الوصول إلى معلومات حساسة …”
صرح متحدث باسم شركة AT&T لموقع InformationWeek في بيان أنهم يتخذون خطوات لمنع حدوث خروقات في المستقبل. “إن حماية بيانات عملائنا تظل واحدة من أهم أولوياتنا. ورغم أن أنظمتنا لم تتعرض للخطر في هذا الحادث، فإننا نعمل على تحسين كيفية إدارة معلومات العملاء داخليًا، فضلاً عن تنفيذ متطلبات جديدة على ممارسات إدارة البيانات لدى البائعين لدينا.”
وقالت الشركة إنها بدأت في إخطار العملاء بالاختراق في مارس 2023. وقالت الشركة إن البيانات لم تتضمن معلومات بطاقات الائتمان أو أرقام الضمان الاجتماعي أو كلمات مرور الحسابات أو أي معلومات حساسة أخرى.
وقال رئيس مكتب إنفاذ القانون لويان أ. إيجال، الذي يشغل أيضًا منصب رئيس فريق عمل الخصوصية وحماية البيانات التابع للجنة الاتصالات الفيدرالية، في بيان: “باعتبارهم أهدافًا عالية القيمة، فإن مزودي خدمات الاتصالات ملزمون بتقليص سطح الهجوم ونقاط الدخول التي يسعى الجهات الفاعلة في التهديد إلى استغلالها من أجل الوصول إلى بيانات العملاء الحساسة… لن يتردد مكتب إنفاذ القانون في اتخاذ إجراءات ضد مزودي الخدمة الذين يختارون وضع بيانات عملائهم في السحابة، ومشاركة هذه البيانات مع بائعيهم، والفشل في أن يكونوا أمناء مسؤولين عن البيانات”.
هذه ليست أول حملة صارمة ضد قضايا حوكمة البيانات في شركة AT&T. في أبريل، فرضت لجنة الاتصالات الفيدرالية غرامة قدرها 57 مليون دولار على الشركة بتهمة الكشف عن معلومات موقع العملاء لطرف ثالث دون موافقتهم.
وقد تتفاقم مشاكل الشركة مع قيام الجهات التنظيمية الفيدرالية بالتحقيق في انتهاكات أخرى.
اتفاقية MFA الخاصة بشركة Snowflake ومسؤولية الطرف الثالث
في يوليو/تموز، كشفت شركة AT&T علنًا أن مزودًا سحابيًا تابعًا لجهة خارجية (تم تحديده باسم Snowflake بواسطة Bloomberg) تعرض للاختراق من قبل نفس المجموعة التي استخدمت بيانات اعتماد Snowflake المسروقة لاستهداف Advance Auto وTicketmaster وSantander Bank وNeiman Marcus ومجموعة من المؤسسات البارزة الأخرى. كان اختراق AT&T أوسع نطاقًا بكثير، وأثر على 73 مليون عميل، وكشف عن بيانات الاتصال والرسائل النصية خلال عدة أشهر في عام 2022. وفي المجموع، تأثرت 165 شركة بالاختراقات المتعلقة بـ Snowflake.
مثل أول تقرير نشرته مجلة InformationWeekأشار الخبراء إلى افتقار Snowflake إلى ضوابط فرض المصادقة متعددة العوامل باعتبارها الثغرة التي استغلتها مجموعة القراصنة التي ضربت شركات متعددة. في يوليو، قامت الشركة أعلن حتى يتمكن المسؤولون من فرض ومراقبة المصادقة الثنائية على حسابات المستخدمين.
مع تزايد مثل هذه الخروقات للبيانات وزيادة التدقيق الفيدرالي، أصبح قسم تكنولوجيا المعلومات تحت ضغط أكبر من أي وقت مضى.
يقول أليكس هامرستون، مدير الحلول الاستشارية لشركة TrustedSec للاستشارات في مجال الأمن السيبراني، إن الشركات التي تتمتع بحوكمة قوية للبيانات لا تزال معرضة للخطر. وفي مقابلة هاتفية مع InformationWeek، قال: “عندما تنظر إلى الشركات التي تفعل كل الأشياء الصحيحة، فإنها لا تزال تواجه تحديات مع البيانات”.
يقول إن جزءًا من المشكلة هو أنه يكاد يكون من المستحيل مراقبة كل بائع قد يكون لديه حق الوصول إلى البيانات. “أعتقد أن الطريقة التي نتعامل بها كمؤسسات مع العناية الواجبة بالبائعين معطلة إلى حد كبير. التغيير الجذري هنا هو أنه يمكنك تغريمي لعدم التأكد من أن الطرف الثالث كان يفعل ما كان من المفترض أن يفعله … هذا موقف صعب”.
قد يكون القرار الأخير الذي اتخذته لجنة الاتصالات الفيدرالية بشأن شركة AT&T بمثابة أخبار سيئة بالنسبة للبائعين مثل Snowflake.
يقول أساف كوتشان، رئيس شركة سينترا ومؤسسها المشارك، في مقابلة عبر البريد الإلكتروني مع InformationWeek: “مع الاهتمام الهائل بهذا الاختراق المحدد، فإن قرار لجنة الاتصالات الفيدرالية بشأن شركة AT&T سيشكل سابقة لحوادث مماثلة في المستقبل. إذا وجدت لجنة الاتصالات الفيدرالية، أو هيئة حاكمة أخرى، أن Snowflake ارتكبت نفس الأخطاء التي ارتكبتها AT&T، فلن يكون أمامها خيار آخر سوى تحميلها المسؤولية”.
كيف يمكن لقادة تكنولوجيا المعلومات الدفاع عن البيانات بشكل أفضل؟
لا شك أن مسؤولي المعلومات ومديري البيانات ومديري التكنولوجيا ومديري أمن المعلومات وجميع قادة تكنولوجيا المعلومات يتعرضون لضغوط متزايدة عندما يتعلق الأمر بانتهاكات البيانات وإبعاد المعلومات الحساسة عن أيدي المجرمين. ومع إضافة أدوات GenAI طبقة أخرى من التعقيد، أصبحت مهمة الأمن وحوكمة البيانات أكثر تعقيدًا.
يقول كوتشان: “إن عدم كفاية وضوح البيانات والافتقار إلى فرض موقف أمني يمكن أن يترك المعلومات الحساسة مكشوفة، وغالبًا دون اكتشافها، مما يؤدي إلى هجمات من جهات خارجية”. “ولهذا السبب، من الأهمية بمكان تنفيذ تدابير أمنية تكتشف بدقة مكان وجود البيانات الحساسة وكيفية تحركها داخل النظام البيئي للمؤسسة. إحدى الطرق للقيام بذلك هي من خلال GenAI … على وجه التحديد، يمكن لـ GenAI تعزيز منصات أمان البيانات … “
وتقول أليسون ساجرافز، المديرة التنفيذية السابقة لبنك إم آند تي والتي تدير الآن شركتها الاستشارية الخاصة، إن أمن البيانات يتلخص في السيطرة. وفي مقابلة عبر البريد الإلكتروني، تقول: “البيانات هي المادة الخام في عصر الذكاء الاصطناعي والعصر الرقمي. وتتطلب سلاسل التوريد الرقمية اليوم اليقظة وإدارة المخاطر والحوكمة المدروسة في عالمنا المترابط بشكل متزايد. ويتعين على كبار مسؤولي البيانات وقادة البيانات تنفيذ ضوابط أكثر صرامة على سلاسل توريد البيانات الخاصة بهم لضمان تلبية أمن البيانات للتوقعات المتزايدة للعملاء والشركاء والجهات التنظيمية”.
ويقول ساجرافز إن قادة البيانات يمكنهم تحسين أمن البيانات وتعزيز سلاسل التوريد من خلال إجراء عمليات تدقيق مستمرة لأمن البائعين، وتنفيذ تصنيف البائعين على أساس المخاطر، وإنفاذ بنود أمن البيانات في العقود.
يقول هامرستون من TrustedSec إن التدقيق على الأطراف الثالثة أمر بالغ الأهمية. “كشركة، تحتاج إلى الكثير من برامج إدارة البيانات ثم إلى آليات للتدقيق وتقييم ما إذا كانت البيانات قد تمت إزالتها.”
ويضيف قائلاً: “البيانات هي النفط الجديد، فهي ذات قيمة كبيرة”.
