T-Mobile gaat een boete van 31,5 miljoen dollar betalen om het onderzoek naar meerdere datalekken te beëindigen. De helft van het bedrag zal moeten worden besteed aan het verbeteren van de cybersecurity.
T-Mobile moet een boete betalen voor eerdere datalekken
De Amerikaanse Federal Communications Commission (FCC) heeft T-Mobile US veroordeeld tot het betalen van een boete van $31,5 miljoen. De boete maakt naar verluidt deel uit van een schikking tussen de twee over een reeks inbreuken die plaatsvonden tussen 2021 en 2023.
T-Mobile heeft in de genoemde jaren meerdere malen te maken gehad met datalekken. Om meerdere redenen, waaronder het mogelijk maken van externe toegang tot een eerstelijnsverkoopapplicatie, konden hackers de veiligheid van het bedrijf in gevaar brengen.
Klantgegevens van T-Mobile, waaronder namen, adressen, geboortedata, burgerservicenummers, rijbewijsnummers, apparaatidentificatoren en accountpincodes, zijn openbaar gemaakt. Het laatste datalek vond plaats in 2023. Zorgwekkend genoeg was dit de schuld van T-Mobile, aangezien het bedrijf de machtigingsinstellingen verkeerd had geconfigureerd. Hierdoor konden hackers klantaccountgegevens verkrijgen.
Als collectieve boete voor deze inbreuken zal T-Mobile een boete van $31,5 miljoen betalen aan de FCC. Interessant genoeg gaat de helft van de boete naar T-Mobile voor het opvoeren van de cyberbeveiliging van zijn activiteiten.
Hoe gaat T-Mobile de cybersecurity verbeteren?
De FCC noemt deze schikking ‘baanbrekend’. Het agentschap hoopt dat zijn acties een signaal naar andere vervoerders zullen sturen dat er consequenties zullen zijn als ze hun systemen niet versterken.
Van de 31,5 miljoen dollar gaat 15,75 miljoen dollar naar het Amerikaanse ministerie van Financiën. De andere helft van het bedrag zal het bedrijf moeten besteden aan het verbeteren van zijn cybersecurityprogramma.
T-Mobile heeft twee jaar de tijd om een complianceplan te implementeren dat is ontworpen om consumenten in de toekomst tegen soortgelijke inbreuken te beschermen. Als onderdeel van het proces zal T-Mobile een Chief Information Security Officer aanwijzen, die aan de Raad van Bestuur zal rapporteren over cybersecurity-kwesties.
T-Mobile zal ook onafhankelijke beoordelingen door derden uitvoeren van haar informatiebeveiligingspraktijken. Hierbij kan het gaan om het inhuren van cybersecurity-experts die proberen in te breken in de beveiligde netwerken van het bedrijf en bedrijven waarschuwen voor mogelijke zwakke plekken of kwetsbaarheden.
Het telecombedrijf zal naar verluidt een ‘zero-trust security framework’ adopteren en implementeren. Bovendien moeten werknemers en klanten mogelijk Multifactor Authentication (MFA) gebruiken, waarbij OTP’s, beveiligde sleutels en andere technologieën voor secundaire authenticatie betrokken kunnen zijn.