Персональні ідентифікаційні дані майже 49 400 осіб були скомпрометовані у провайдера послуг зі страхування від нещасних випадків на виробництві Cove Risk Services, повідомляє BestWire з посиланням на повідомлення, подане до Office of the Maine Attorney General.

За даними Cove Risk, несанкціонована сторона отримала доступ до даних у її системах 3 травня. Порушення роботи мережі було виявлено 5 травня.

Компанія завершила внутрішню перевірку 10 листопада, встановивши масштаб інциденту та категорії даних, після чого перейшла до верифікації контактної інформації постраждалих осіб.

За інформацією компанії, зловмисники могли отримати доступ до імен у поєднанні з одним або кількома чутливими ідентифікаторами.

Перелік потенційно скомпрометованих даних є широким і включає:

дати народження;
номери водійських посвідчень або посвідчень особи штату;
відомості про медичне страхування та медичні дані;
фінансову інформацію щодо рахунків;
номери паспортів;
номери соціального страхування (SSN).

Не всі записи містили повний набір полів, однак вікно експозиції було значним.

Cove Risk надає послуги з андеррайтингу та врегулювання збитків у сегменті страхування працівників для понад 4 000 роботодавців у Массачусетсі та Нью-Гемпширі, працюючи безпосередньо з клієнтами та брокерами. Така операційна модель передбачає концентрацію даних, через що інциденти швидко масштабуються у разі недостатньої сегментації та контролів.

Згідно з поданням до Генерального прокурора штату Мен, 182 постраждалі особи є резидентами Мену — цього достатньо для запуску обов’язкових процедур повідомлення, навіть якщо компанія не здійснює основну діяльність у штаті.

Компанія повідомила, що вжила заходів для посилення мережевої безпеки та зниження ризику повторення інциденту, а також пропонує постраждалим кредитний моніторинг і сервіси захисту ідентичності.

Регуляторний контекст і наслідки

Інцидент відбувається на тлі зростаючої уваги регуляторів до кіберстійкості страхового ланцюга створення вартості. Нещодавно регулятор штату Монтана розпочав розслідування щодо Blue Cross and Blue Shield of Montana після окремого інциденту, який міг зачепити дані до 426 тис. застрахованих.

За оцінками аналітиків Beinsure, активність наглядових органів навколо кіберінцидентів у страхуванні не знижується — навпаки, посилюється.

Затримка у виявленні кіберінцидентів свідчить не про одиничний злам облікових даних, а про латеральне переміщення всередині мережі.

Комбінація імен із високоризиковими ідентифікаторами (медичні дані, державні ID, фінансова інформація) підвищує ймовірність подальшого шахрайства та медичної крадіжки ідентичності, а не лише кредитних зловживань.

Стандартні заходи реагування, такі як кредитний моніторинг, мало впливають на довгострокові ризики, пов’язані з даними, які неможливо «скинути» або перевипустити.

У сукупності події вказують на розширення регуляторного фокусу з фінансової стійкості страховиків на операційну стійкість їхніх сервісних і TPA-партнерів.

Для компаній на кшталт Cove Risk кібербезпека більше не є суто IT-функцією: це операційний, репутаційний і дедалі частіше ліцензійний ризик.

Джерело: Форіншурер