Een hogeschool in New York die in 2021 te maken kreeg met een datalek, waarbij de gegevens van bijna honderdduizend New Yorkers werden gestolen, moet 3,5 miljoen dollar in cybersecurity investeren. Dat heeft de procureur-generaal van New York State bekendgemaakt.

Het Marymount Manhattan College (MMC) werd eind 2021 getroffen door een ransomware-aanval, waarbij de aanvaller niet alleen data versleutelde, maar ook allerlei gegevens buitmaakte. Het ging om social-securitynummers, rekeningnummers, creditcardnummers, paspoortnummers, rijbewijsnummers en medische informatie. Sommige van de gegevens waren meer dan tien jaar oud en afkomstig van personen die zich hadden aangemeld voor de hogeschool, maar uiteindelijk nooit een les hadden gevolgd.

MMC betaalde de criminelen losgeld voor het verwijderen van de gestolen data. De autoriteiten deden vervolgens onderzoek naar de aanval en ontdekten dat de hogeschool geen voldoende maatregelen had getroffen om persoonlijke informatie te beveiligen. Zo werd er geen multifactorauthenticatie (MFA) voor accounts toegepast en was gevoelige data niet versleuteld. Verder werden beveiligingsupdates niet tijdig geïnstalleerd en liep het beveiligingsbeleid achter.

De hogeschool heeft nu een akkoord met de procureur-generaal gesloten waarbij het de komende zes jaar 3,5 miljoen dollar in cybersecurity moet investeren, waaronder het versleutelen van persoonlijke informatie, het inschakelen van MFA en het scannen naar kwetsbaarheden en andere beveiligingsproblemen. "Wanneer instellingen zoals het Marymount Manhattan College online gegevens niet goed beschermen, lopen duizenden New Yorkers daardoor risico", zegt procureur-generaal Letitia James. "Deze overeenkomst zorgt ervoor dat gegevens van toekomstige studenten wel beschermd zijn."