S-a strigat bingo! Avem cea mai mare tranzacție pentru o breșă de securitate în SUA: 700 milioane.
7 minute • Ana-Maria Udriste • 22 iulie 2019
Equifax acceptă să plătească până la 700 milioane dolari pentru a soluționa breșa din 2017, cea mai mare tranzacție a unei încălcări a datelor din istoria S.U.A.
Un eveniment previzibil
La 22 iulie 2019, Comisia Federală pentru Comerț (”FTC”) a anunțat că Equifax Inc. (“Equifax“) a fost de acord să plătească cel puțin 575 milioane dolari și potențial până la 700 milioane dolari, ca parte a unui acord global de tranzacționare cu FTC, Biroul Financiar pentru Protecția Consumatorilor (“CFPB“) și 50 de state și teritorii ale Statelor Unite pentru a pune capăt investigației privind încălcarea colosală a datelor pe care compania a suferit-o în 2017. Aceasta este cea mai mare tranzacționare privind o încălcare a datelor personale din istoria SUA.
Equifax, unul dintre cele trei birouri de credit ale Americii, stochează informații personale referitoare la sute de milioane de indivizi. FTC afirmă că eșecul Equifax de a rezolva (”patch”) o vulnerabilitate critică a securității rețelei care a afectat baza sa de date ACIS a permis hackerilor să exploateze fără să fie detectați rețelele Equifax care conțineau informatii personale pentru o perioadă de luni de zile Potrivit plângerii, după ce Equifax a fost alertat la problema de securitate în martie 2017, personalul de securitate al companiei a ordonat ca sistemele vulnerabile să rezolvate prin aplicarea de patch-uri în 48 de ore. Equifax nu a reușit, totuși, să se asigure că instrucțiunile au fost executate de angajații responsabili și riscul a rămas descoperit.
Ce s-a întâmplat?
În iulie 2017, patru luni mai târziu, Equifax a descoperit că baza sa de date ACIS nu a fost securizată. Investigația lui Equifax a arătat că mai mulți hackeri au folosit vulnerabilitatea respectivă pentru a accesa rețeaua companiei și pentru a obține chei de acces administrative stocate în format text simplu dintr-un fișier nesecurizat. Utilizând credențialele respective, hackerii și-au mascat activitățile de luni de zile și au furat informațiile personale ale sute de milioane de oameni, dintre care majoritatea au cumpărat scoruri de credit, servicii de monitorizare a creditelor sau servicii de prevenire a furtului de identitate de la Equifax. Potrivit FTC, hackerii au furat cel puțin 147 milioane de nume și date de naștere, 145,5 milioane de numere de asigurări sociale și 209 000 numere de carduri de plată și date de expirare. Ei au reușit să facă acest lucru, afirmă FTC, deoarece Equifax nu a reușit să pună în aplicare măsuri de securitate de bază și stoca credențialele de logare și informații sensibile pentru consumatori în text simplu.
Equifax va oferi despăgubiri și persoanelor vizate
Pe lângă suma imensă pe care o va plăti către autorități, Equifax va oferi, ca parte a acestei înțelegeri, 300 milioane dolari unui fond care va oferi persoanelor fizice servicii de monitorizare a creditelor și va compensa pierderile. Equifax va adăuga până la 125 milioane dolari în fond, după cum este necesar. În plus, începând cu ianuarie 2020, Equifax va oferi tuturor rezidenților din S.U.A. șase rapoarte gratuite de credit în fiecare an timp de șapte ani (în plus față de raportul de credit gratuit Equifax și celelalte două birouri principale de credit, TransUnion și Experian). Equifax a fost, de asemenea, de acord să plătească 175 de milioane de dolari către 48 de state, Districtul Columbia și Puerto Rico și 100 de milioane de dolari CFPB.
Diminuează posibilitatea existenței unei breșe de securitate și evită amenzile de până la 4% din cifra de afaceri!
Pe lângă plata efectivă a unor sume de bani, Equifax trebuie să implementeze un program cuprinzător de securitate a informațiilor. Programul solicită, printre altele, ca Equifax să obțină certificări anuale de la consiliul de administrație sau de la subcomitetele relevante, conform cărora compania a respectat ordinul și a obținut evaluări ale programului de securitate a informațiilor de la terți la fiecare doi ani. FTC este autorizat să aprobe evaluatorul pentru fiecare perioadă de evaluare de doi ani.
Ultimele articole publicate în GDPR care te-ar putea interesa:
- S-a strigat bingo! Avem cea mai mare tranzacție pentru o breșă de securitate în SUA: 700 milioane.
- Întreabă expertul: suntem obligați să furnizăm înregistrările CCTV dintr-o parcare?
- Prima amendă pe GDPR în Olanda este acordată unui spital
- Ce înveți după o amendă pe GDPR?
- 100 milioane amenda pentru lantul hotelier Marriot pentru divulgarea datelor a 383 milioane de clienți
Ce a reținut raportul Equifax?
Ca să înțelegem de ce s-a ajuns la această sumă foarte mare pentru înțelegere, trebuie să vedem și ce a reținut raportul din 2018 asupra incidentului Equifax.
Mai jos găsești și rezumatul:
Evenimentul era în totalitate predictibil. Equifax nu a reușit să aprecieze pe deplin și să atenueze riscurile de securitate cibernetică. Dacă întreprinderea ar fi întreprins acțiuni pentru a rezolva problemele sale de securitate care puteau fi observate, încălcarea datelor ar fi putut fi împiedicată.
Lipsa de responsabilitate și a unei structuri de management. Equifax nu a reușit să pună în aplicare direcții clare de autoritate în cadrul structurii interne de gestionare IT, conducând la un decalaj de execuție între dezvoltarea și funcționarea politicii IT. În cele din urmă, diferența a limitat capacitatea companiei de a implementa inițiativele de securitate într-un mod cuprinzător și în timp util.
Sisteme informatice complexe și învechite. Strategia de creștere agresivă a Equifax și acumularea datelor au dus la crearea unui mediu IT complex. Atât complexitatea, cât și caracterul vechi al sistemelor moștenite de la Equifax au făcut ca securitatea IT să fie deosebit de apetisantă pentru hackeri.
Nerespectarea măsurilor de securitate responsabile. Equifax avea expirate peste 300 de certificate de securitate, inclusiv 79 de certificate pentru monitorizarea domeniilor critice de afaceri. Neefectuarea reînnoirii unui certificat digital expirat timp de 19 luni a lăsat Equifax fără vizibilitate asupra exfiltrației datelor în timpul ciberneticului.
Lipsa unei pregătiri pentru a sprijini consumatorii afectați. După ce Equifax a informat publicul despre încălcarea datelor, ei nu au fost pregătiți să identifice, să avertizeze și să sprijine consumatorii afectați. Site-ul privind încălcarea drepturilor de autor și centrele de apel telefonice au fost imediat copleșite, ceea ce a determinat consumatorii afectați să nu poată accesa informațiile necesare pentru a-și proteja identitatea.
Cronica unui eșec previzibil
După cum putem vedea, Equifax nu a implementat măsuri aproape minimale de securitate, ceea ce a dus la o breșă privind securitatea datelor cu caracter personal cel puțin memorabilă, mai ales din punct de vedere al impactului pe care aceste date divulgate îl are asupra vieții curente a persoanelor (vorbim aici despre informații privind scorul de credit și cardurile pentru efectuarea plăților).
Trebuie să ținem minte că, potrivit GDPR, în momentul în care identificăm o breșă de securitate, pe lângă identificarea și remedierea propriu-zisă a incidentului, vom face o analiză a riscurilor respectivului eveniment, respectiv să vedem care sunt elementele de date divulgate, persoanele vizate (în funcție de număr și calitate), precum și să abordăm riscurile existente și să ne gândim la soluții pentru ameliorarea lor (în cazul de față a fost vorba despre o despăgubire de aprox. 20.000 dolari pentru fiecare persoană + oferirea unor servicii suplimentare de monitorizare).
Din raportul comisiei, putem observa că GDPR este, așa cum am tot afirmat, o chestiune ”de ogradă” – nu ne putem gândi că Equifax nu avea la dispoziție consultanții externi necesari pentru a face o implementare corectă a standardelor de securitate. Însă lipsa unor proceduri clar stabilite și implementarea efectivă în companie a acestora în practică au dus la ”lăsarea în derivă” a unei breșe timp de 4 luni și care a vizat zeci de milioane de persoane.