泄露近600万客户敏感数据，这家金融机构被罚超1.4亿元

1月13日消息，美国湾景资产管理公司（Bayview Asset Management）因数据泄露事件及涉嫌未能充分配合事后监管调查，被罚款2000万美元（约合人民币1.46亿元）。

湾景总部位于佛罗里达州科勒尔盖布尔斯，旗下拥有多家抵押贷款服务公司。根据美国州银行监管机构会议（CSBS）于1月8日发布的声明，该公司在信息技术实践中存在漏洞，并在2021年发生了一起影响580万客户的数据泄露事件。CSBS指出，当监管机构索取相关信息时，湾景未能有效配合。

CSBS表示，此次调查由加利福尼亚州、马里兰州、北卡罗来纳州和华盛顿州的监管机构牵头，最终促使53个司法辖区的监管机构采取联合行动，迫使湾景达成和解协议。

员工无意间下载恶意软件，致使公司网络被入侵

事件起源于2021年10月。一名湾景员工在执行与工作相关的互联网搜索时，无意间下载了恶意软件。

犯罪分子利用该漏洞，在公司网络中植入恶意程序，并窃取了包括个人身份信息在内的敏感数据。

湾景及其关联公司在事发后迅速作出反应，通知受影响的消费者，并提供支持服务，包括免费提供信用监控和身份盗窃保护服务。

和解协议中提到，尽管湾景向多个州级和联邦监管机构以及交易对手通报了此次数据泄露事件，但未能及时满足所有州抵押贷款监管机构的通知要求。

根据和解协议，湾景承诺采取一系列整改措施，包括改进其网络安全计划，并在未来三年内接受独立评估，同时向州监管机构提交评估报告。

湾景方面未回应置评请求。根据监管机构发布的一份书面命令，湾景既未承认也未否认相关指控。

金融业网络安全风险高企，合规部门压力不断增高

金融行业受到美国联邦机构及其州级对应机构的共同监管。各级监管机构均强调，网络安全是金融行业面临的重大风险，尤其是在金融科技初创企业快速发展以及银行业务日益依赖第三方服务的背景下。

美国货币监理署上个月曾警告称，银行面临的网络安全风险仍然处于高位。与此同时，国际货币基金组织（IMF）也指出，近年来针对银行的网络攻击带来的财务影响正在不断加剧。

纽约金融监管机构在去年秋天的一份声明中表示，AI的发展可能进一步加剧网络安全风险。

在各类组织中，合规部门正面临日益复杂的网络安全法规要求，其应对压力不断增加。

来源：安全内参，参考资料：https://www.wsj.com/articles/bayview-asset-management-enters-into-20-million-settlement-over-cybersecurity-weaknesses-a5335697、https://www.housingwire.com/articles/bayview-settles-for-20m-with-53-state-regulators-over-cyberattack/