"Thỏa thuận này thể hiện cam kết liên tục của bộ trong việc duy trì trách nhiệm của những người được cấp phép, đặc biệt là những người có quyền truy cập vào thông tin tài chính cá nhân của người tiêu dùng, chẳng hạn như OneMain, để thực hiện tất cả các hành động cần thiết để bảo vệ dữ liệu của người dân New York."
Bộ Dịch vụ Tài chính New York đã thông báo rằng OneMain Financial Group LLC sẽ bị phạt 4,25 triệu đô la vì vi phạm các quy định về an ninh mạng (23 NYCRR Phần 500).
Theo NYDFS, OneMain đã không quản lý hiệu quả rủi ro của nhà cung cấp dịch vụ bên thứ ba, quản lý quyền truy cập và duy trì cách tiếp cận chính thức để phát triển bảo mật ứng dụng.
Theo NYDFS, các lỗi này đã làm tăng đáng kể khả năng dễ bị tổn thương của công ty trước các sự cố an ninh mạng, cơ quan này đã bắt đầu thực thi các quy định an ninh mạng vào tháng 3 năm 2017.
Quy định an ninh mạng 23 NYCRR Phần 500 đã đóng vai trò là hình mẫu cho các cơ quan quản lý khác, bao gồm FTC, một số tiểu bang, Hiệp hội các ủy viên bảo hiểm quốc gia (NAIC) và luật bảo mật dữ liệu mô hình phi ngân hàng CSBS.
Người được cấp phép phải bảo vệ hệ thống thông tin và dữ liệu người tiêu dùng của chính họ theo cách tốt nhất có thể
Giám đốc NYDFS Adrienne A. Harris cho biết: "Đạo luật an ninh mạng quốc gia đầu tiên của DFS tạo ra khuôn khổ cơ bản theo đó những người được cấp phép phải bảo vệ tốt nhất hệ thống thông tin và dữ liệu người tiêu dùng của họ. Thỏa thuận dàn xếp này chứng tỏ rằng bộ phận Chúng tôi vẫn cam kết duy trì trách nhiệm của những người được cấp phép, đặc biệt là những người có quyền truy cập vào thông tin tài chính cá nhân của người tiêu dùng, chẳng hạn như OneMain, thực hiện mọi hành động cần thiết để bảo vệ dữ liệu của người dân New York."
OneMain là công ty cho vay và dịch vụ thế chấp được cấp phép chuyên về các khoản vay không chính. OneMain bị cáo buộc đã thất bại trong việc quản lý hiệu quả quyền truy cập của người dùng vào các hệ thống thông tin cung cấp quyền truy cập vào thông tin không công khai của khách hàng.
Ví dụ: OneMain cho phép người dùng quản trị cục bộ chia sẻ tài khoản, ảnh hưởng đến khả năng xác định các tác nhân độc hại và cũng cho phép những tài khoản đó sử dụng mật khẩu mặc định do OneMain cung cấp khi người dùng được đưa vào, làm tăng nguy cơ truy cập trái phép.
NYDFS cũng kết luận rằng chính sách bảo mật ứng dụng của công ty thiếu cách tiếp cận chính thức để giải quyết tất cả các giai đoạn trong vòng đời phát triển phần mềm của công ty. OneMain đã sử dụng khung quản lý dự án không chính thức được phát triển nội bộ của mình, khung này không giải quyết được một số giai đoạn vòng đời phát triển phần mềm quan trọng, dẫn đến khả năng dễ bị tổn thương trước các sự cố an ninh mạng tăng lên.
Ngoài ra, OneMain đã không tiến hành thẩm định kịp thời đối với một số nhà cung cấp có rủi ro cao và trung bình mặc dù có chính sách quản lý nhà cung cấp bên thứ ba yêu cầu mỗi nhà cung cấp phải được đánh giá để xác định xếp hạng rủi ro của nhà cung cấp và mức độ phù hợp. thẩm định kinh doanh.
NYDFS cho biết OneMain đã không thể điều chỉnh đúng điểm rủi ro cho một số nhà cung cấp ngay cả sau nhiều sự cố an ninh mạng xuất phát từ việc nhà cung cấp xử lý sai thông tin không công khai và kiểm soát an ninh mạng yếu kém.