AT&T e la multa per violazione dei dati
AT&T ha accettato di pagare una multa di 13 milioni di dollari a causa di una violazione dei dati che ha coinvolto la condivisione di informazioni sulle fatture dei clienti con un fornitore esterno. Tale condivisione era finalizzata alla creazione di contenuti video personalizzati, ma l’azienda ha successivamente omesso di garantire che il fornitore distruggesse i dati quando non erano più necessari. In aggiunta alla sanzione, AT&T ha concordato di implementare controlli più severi sulla condivisione dei dati con i fornitori, come stabilito nell’ordine di consenso annunciato oggi dalla Federal Communications Commission (FCC).
Nel gennaio 2023, a anni dall’epoca in cui i dati avrebbero dovuto essere distrutti, il fornitore ha subito una violazione, durante la quale attori malevoli hanno avuto accesso all’ambiente cloud del fornitore, estraendo infine le informazioni dei clienti di AT&T. Secondo quanto riferito dalla FCC, i dati di 8,9 milioni di clienti wireless di AT&T sono stati esposti.
Le compagnie telefoniche sono legalmente obbligate a proteggere le informazioni dei clienti, e la FCC ha sottolineato che AT&T non avrebbe dovuto semplicemente fare affidamento sulle assicurazioni delle aziende terze riguardo la distruzione dei dati. “AT&T ha utilizzato il fornitore per generare e ospitare contenuti video personalizzati, inclusi video di fatturazione e marketing, per i clienti di AT&T”, ha dichiarato un comunicato stampa della FCC. “Secondo i contratti di AT&T, il fornitore avrebbe dovuto distruggere o restituire le informazioni dei clienti di AT&T quando non erano più necessarie per adempiere agli obblighi contrattuali, terminati anni prima che avvenisse la violazione”.
La natura della violazione e delle informazioni compromesse
La violazione dei dati ha avuto conseguenze significative per AT&T, con informazioni sensibili di milioni di clienti esposte in seguito all’incapacità del fornitore di gestire e proteggere adeguatamente i dati. AT&T ha dichiarato alla FCC di aver condiviso i dati dei clienti con il fornitore tra il 2015 e il 2017, con l’impegno che tali informazioni sarebbero dovute essere distrutte in modo sicuro entro il 2018. Tuttavia, i dati sono rimasti archiviati nell’ambiente cloud del fornitore per molti anni oltre la scadenza rispetto alla quale avrebbero dovuto essere cancellati.
I dati esposti includevano informazioni relative al numero di linee per tutti i clienti coinvolti, informazioni sui saldi delle fatture, dati sui pagamenti e dettagli sui piani tariffari e le caratteristiche per circa l’uno per cento dei clienti interessati. Sebbene AT&T abbia specificato che i dati non contenessero informazioni sensibili come numeri di carte di credito, numeri di previdenza sociale, password degli account o altre informazioni personali riservate, la violazione resta comunque grave, poiché il contenuto di queste informazioni può essere utilizzato per attività fraudolente.
Secondo l’ordine dell’FCC, la violazione è avvenuta quando, a gennaio 2023, gli attori malevoli hanno raggiunto l’ambiente cloud del fornitore, ottenendo accesso non autorizzato ai dati dei clienti di AT&T. La FCC ha criticato non solo la gestione dei dati da parte del fornitore, ma anche la mancanza di vigilanza da parte di AT&T nel garantire che le informazioni venissero trattate in conformità con i requisiti contrattuali. AT&T aveva l’obbligo di monitorare e garantire la sicurezza delle informazioni condivise, ma in questo caso tale responsabilità non è stata adeguatamente esercitata, portando a un’esposizione massiccia di dati. Questo evento ha messo in evidenza le vulnerabilità nella catena di approvvigionamento dei dati e la necessità per le aziende, specialmente in settori altamente regolamentati come le telecomunicazioni, di adottare misure straordinarie per proteggere le informazioni dei propri clienti.
Risposte e misure adottate da AT&T
AT&T ha risposto alla violazione dei dati notificando tempestivamente i clienti coinvolti e attuando una serie di misure per mitigare i danni e migliorare la protezione delle informazioni. L’azienda ha comunicato di aver avvisato i clienti della violazione nel mese di marzo 2023. Inoltre, ha monitorato gli account dei clienti colpiti per identificare qualsiasi attività fraudolenta o non autorizzata in relazione alla violazione.
Nella sua dichiarazione, AT&T ha affermato che non sono state trovate prove di frodi legate agli account dei clienti a seguito dell’incidente. Ha indicato che i tassi di frode legati all’porting, al SIM swap e ai furti di attrezzature per i clienti interessati erano costantemente inferiori rispetto ai tassi della popolazione generale dei clienti di AT&T Mobility, coprendo tutti i tipi di account.
AT&T ha inoltre riconosciuto la necessità di apportare miglioramenti significativi alle proprie pratiche di gestione dei dati interni e ha comunicato di stare implementando nuovi requisiti per le pratiche di gestione dei dati dei fornitori. Nel contesto della violazione, AT&T ha evidenziato che la sicurezza dei dati in futuro sarà una priorità assoluta, con un impegno a migliorare le procedure di protezione delle informazioni sensibili dei clienti.
In risposta alle preoccupazioni sollevate dalla FCC riguardo alla gestione della sicurezza dei dati, AT&T ha affermato di aver effettuato una serie di revisioni e valutazioni riguardo ai suoi fornitori tra il 2016 e il 2020. L’azienda ha dichiarato che l’affidabilità delle assicurazioni fornite dal fornitore e dai subfornitori era stata confermata, ma ha riconosciuto che ciò non basta a garantire la protezione adeguata delle informazioni. AT&T sta quindi rivedendo e affinando le proprie procedure interne per garantire che gli standard di sicurezza siano rigorosi e rispettati in ogni aspetto della gestione dei dati.
Le nuove misure di sicurezza imposte dalla FCC
La Federal Communications Commission (FCC) ha stabilito nuove misure di sicurezza che AT&T dovrà implementare per migliorare la protezione delle informazioni sensibili dei clienti. Queste misure, parte dell’ordine di consenso, sono state introdotte in risposta alla violazione che ha esposto i dati di milioni di clienti e mirano a prevenire simili incidenti in futuro.
Una delle principali prescrizioni è l’adozione di nuove pratiche di governance dei dati da parte di AT&T. Ciò include la necessità di attuare processi e procedure adeguati per proteggere i dati sensibili dei consumatori dai potenziali attacchi dei fornitori terzi. In particolare, il decreto richiede ad AT&T di:
- Condurre una due diligence approfondita nella selezione dei fornitori.
- Richiedere ai fornitori di adottare misure di sicurezza adeguate per la protezione delle informazioni dei clienti.
- Limitare l’accesso e l’archiviazione delle informazioni dei clienti da parte dei fornitori.
- Effettuare una vigilanza potenziata sui fornitori per garantire la conformità agli accordi e alle norme di sicurezza.
- Creare un programma di inventario dei dati per tenere traccia delle informazioni dei clienti condivise con i fornitori.
AT&T sarà inoltre tenuta a richiedere ai fornitori di rispettare obblighi di conservazione e distruzione dei dati dei clienti, limitando così la quantità di informazioni vulnerabili a eventuali violazioni. Un altro requisito importante è la realizzazione di audit annuali di conformità, che valuteranno il rispetto degli standard di sicurezza e delle normative stabilite dal decreto.
Secondo la FCC, la conformità a queste nuove misure potrebbe comportare per AT&T investimenti significativi in termini di risorse e finanziamenti, ben superiori alla sanzione pecuniaria di 13 milioni di dollari. Le nuove regole saranno in vigore per tre anni e si prevede che AT&T debba apportare modifiche sostanziali ai propri processi di protezione dei dati per adeguarsi a queste disposizioni.
Implicazioni future e costi per AT&T
Le implicazioni della violazione dei dati e delle nuove misure imposte dalla FCC saranno significative per AT&T, tanto a livello operativo quanto finanziario. L’azienda dovrà affrontare un aumento dei costi legati alla sicurezza dei dati e alla conformità con le nuove normative, poiché sarà necessaria una revisione sostanziale delle sue prassi di gestione dei fornitori di servizi. Gli investimenti richiesti per adeguarsi a queste nuove regole potrebbero superare l’importo della multa di 13 milioni di dollari, specialmente considerando la vasta rete di fornitori con cui AT&T opera.
In particolare, la FCC ha evidenziato che la conformità alle nuove misure avrà bisogno di un approccio più rigoroso e costoso rispetto al passato. Si prevede che le spese per la sicurezza dei dati comprendano, tra l’altro:
- Costi di formazione per il personale in merito alle nuove procedure di sicurezza e gestione dei dati.
- Investimenti in tecnologie e strumenti di sicurezza avanzati per proteggere le informazioni.
- Costi associati alla conduzione di audit di conformità annuali e alla creazione di un programma di inventario dei dati.
- Incremento del personale dedicato alla sicurezza dei dati e alla gestione dei fornitori.
In risposta alla violazione e alle nuove regole, AT&T ha dichiarato la propria intenzione di adottare un approccio proattivo nel migliorare la propria infrastruttura di sicurezza. La società ha comunicato di essere pronta a implementare le misure richieste dalla FCC, ma saranno necessarie sostanziali risorse per garantire un cambio efficace e duraturo. Inoltre, le aziende di telecomunicazioni come AT&T sono sempre più sotto i riflettori, non solo per quanto riguarda la gestione dei dati, ma anche per il rispetto della privacy dei consumatori. Qualsiasi nuova violazione potrebbe non solo costare ingenti somme di denaro, ma anche danneggiare la reputazione dell’azienda e la fiducia dei clienti.
Alla luce di queste sfide, AT&T sta cercando di stabilire una strategia continua di miglioramento della sicurezza informatica e di protezione dei dati, al fine di evitare ulteriori sanzioni e preservare la propria immagine nel mercato. Con ricavi riportati di 29,8 miliardi di dollari e un reddito netto di 3,9 miliardi di dollari nel secondo trimestre del 2024, l’azienda ha le capacità finanziarie per affrontare tali sfide, ma la strada verso la conformità e la protezione dei dati rimane critica e complessa.
