Het dominoprincipe. Het rimpeleffect. Het fenomeen vlinders. Pas elke gewenste analogie toe om te beschrijven wat er gebeurt en wanneer A software ontwikkelaar’s vermeende lakse beveiligingspraktijken resulteren in inbreuken op vertrouwelijke klantinformatie die wordt bijgehouden door meerdere bedrijven die de software gebruiken. Als uw bedrijf een dienstverlener is – of als uw bedrijf externe dienstverleners gebruikt om uw gegevens te beheren – a voorgesteld FTC-verordening verdienstehet is jouw aandacht. Eén opmerkelijk aspect van de zaak: een voorgesteld bevel dat nieuwe gegevensbeveiligingsvereisten omvat die de huidige prioriteit van de Commissie weerspiegelen om haar gegevensbeveiligingsbevelen te actualiseren.
Veel externe dienstverleners verkopen branchespecifieke software voor gegevensbeheer aan consumentengerichte bedrijven. Een voorbeeld is DealerBuilt, software voor autodealers ontwikkeld door LightYear Dealer Technologies. DealerBuilt is een grote naam in de branche en heeft enkele van de grootste dealers van het land als klant. Dealers die een licentie voor DealerBuilt-software hebben, verzamelen en bewaren grote hoeveelheden gevoelige financiële, salaris-, boekhoudkundige en andere informatie over consumenten en werknemers. Dealers die de software gebruiken, kunnen DealerBuilt hun gegevens laten hosten, of ze kunnen deze op hun eigen servers hosten. Bedrijven die voor de tweede optie kiezen, maken regelmatig een back-up van hun databases op het DealerBuilt-netwerk.
Voordat we bij de onvermijdelijke informatie komen die tot de wetshandhavingsactie heeft geleid, moeten we even stilstaan bij enkele praktijken van DealerBuilt tijdens de periode die relevant was voor het administratieve voorstel van de FTC. klacht. Volgens de FTC:
- DealerBuilt slaat informatie op in duidelijke tekst, zonder enige toegangscontrole of authenticatiebescherming zoals wachtwoorden of tokens. Gegevens die tussen dealers en de back-updatabase van DealerBuilt werden verzonden, waren ook niet-versleuteld.
- DealerBuilt beschikte niet over een schriftelijk informatiebeveiligingsbeleid.
- DealerBuilt heeft geen redelijke training op het gebied van gegevensbeveiliging gegeven aan werknemers of opdrachtnemers.
- DealerBuilt heeft de risico’s voor gevoelige gegevens op haar netwerk niet beoordeeld door periodieke risicobeoordelingen uit te voeren of kwetsbaarheids- en penetratietesten uit te voeren.
- DealerBuilt heeft geen direct beschikbare beveiligingsmaatregelen gebruikt om onder meer ongeoorloofde pogingen om gevoelige informatie over te dragen te monitoren.
- DealerBuilt heeft geen redelijke controles ingesteld op de toegang tot gegevens, zoals systemen om inkomende verbindingen met bekende IP-adressen te beperken of authenticatie te vereisen om toegang te krijgen tot back-updatabases.
- DealerBuilt beschikte niet over een redelijk proces voor het selecteren, installeren en beveiligen van apparaten met toegang tot persoonlijke informatie.
In deze context van vermeende tekortkomingen in de beveiliging hoeft wat er daarna gebeurde niet verrassend te zijn. Om de beschikbare back-upopslagruimte te vergroten, heeft een medewerker van DealerBuilt in april 2015 een opslagapparaat aangeschaft en op het bedrijfsnetwerk geïnstalleerd. Volgens de FTC heeft het management van DealerBuilt geen stappen ondernomen om ervoor te zorgen dat het apparaat veilig was geconfigureerd. Als iemand het had gecontroleerd, zou hij hebben ontdekt dat het apparaat een open verbindingspoort creëerde die de overdracht van informatie mogelijk maakte.
Snel vooruit naar eind oktober 2016, toen een hacker door die open deur ‘doorliep’ om ongeoorloofde toegang te krijgen tot de back-updatabase van DealerBuilt, inclusief de niet-gecodeerde persoonlijke informatie van meer dan 12 miljoen consumenten die 130 van zijn dealerklanten bij het bedrijf hadden opgeslagen. De hacker viel het systeem meerdere keren aan en downloadde de persoonlijke gegevens van 69.283 consumenten en de volledige back-upmap van vijf dealers. En dat is nog niet alles, want gedurende een aanzienlijke periode werden de onveilige instellingen van DealerBuilt geïndexeerd op een openbare website die door hackers werd gebruikt om onveilige aangesloten apparaten te lokaliseren. Wat is er uiteindelijk gestolen? Onder andere burgerservicenummers, rijbewijsnummers, geboortedata en geboortedata van consumenten, evenals financiële en salarisinformatie over medewerkers van dealerbedrijven, een vijfsterrenfavoriet van identiteitsdieven.
DealerBuilt werd zich op 7 november 2016 bewust van de inbreuk, toen een dealer belde en vroeg waarom klantgegevens openbaar toegankelijk waren op internet. Volgens de FTC werd het bedrijf zich pas bewust van de open poort op zijn opslagapparaat toen een verslaggever DealerBuilt op de hoogte bracht van het beveiligingsprobleem.
Tel 1 van de klacht zou bekend moeten klinken voor FTC-kijkers. De FTC stelt dat het onvermogen van het bedrijf om werknemers in dienst te nemen redelijk is veiligheid maatregelen waren een oneerlijke praktijk, in strijd met de FTC Act. Punt 2 verdient een speciale vermelding omdat DealerBuilt voldoet aan de Gramm-Leach-Bliley Act-definitie van een ‘financiële instelling’. Dit leidt tot naleving van de GLB-vrijwaringsregelwaarvan de FTC beweert dat DealerBuilt deze heeft geschonden, onder meer door er niet in te slagen een schriftelijk informatiebeveiligingsprogramma te ontwikkelen, implementeren en onderhouden; het onvermogen om redelijkerwijs te voorziene risico’s voor de veiligheid, vertrouwelijkheid en integriteit van klantinformatie te identificeren; en het niet implementeren van basiswaarborgen en het regelmatig testen van de effectiviteit ervan.
Om de zaak op te lossen, stemde het bedrijf in met een voorgestelde volgorde waarin opmerkelijke innovaties zijn opgenomen wij raden u aan deze zorgvuldig te bekijken. Net als de orders in de Clixsense- en iDressup-zaken die in april werden aangekondigd, vereist de voorgestelde order in dit geval dat een senior DealerBuilt-functionaris de FTC jaarlijkse nalevingscertificeringen verstrekt. Het bevel vereist ook dat DealerBuilt specifieke, afdwingbare waarborgen implementeert die de problemen aanpakken die in de klacht worden genoemd, zoals het verplichten van het bedrijf om jaarlijkse werknemerstrainingen te geven, zijn systemen te monitoren op gegevensbeveiligingsincidenten, toegangscontroles te implementeren en apparaten op zijn netwerk te inventariseren. Bovendien brengt de voorgestelde verordening aanzienlijke wijzigingen aan om de verantwoordelijkheid van de externe beoordelaar die verantwoordelijk is voor het beoordelen van het gegevensbeveiligingsprogramma van DealerBuilt verder te vergroten. Bovendien geeft het bevel de FTC meer toegang tot de documenten en andere materialen waarop de beoordelaar zijn bevindingen baseert.
Waarom de bijgewerkte schikkingsvoorwaarden? De meer specifieke wettelijke bepalingen, de verplichte aandacht van het topmanagement voor veiligheidskwesties, de diepgaande ‘kijk onder de motorkapDe beoordeling die van beoordelaars wordt verlangd en de nieuwe monitoringinstrumenten van de FTC zijn allemaal bedoeld om naleving van de bevelen en, indien nodig, handhaving te garanderen.
Zodra de voorgestelde schikking in het Federal Register is gepubliceerd, accepteert de FTC openbare commentaren gedurende 30 dagen. Wat kunnen andere bedrijven van deze casus leren?
Train en begeleid uw medewerkers om veiligheidsgericht te werken. Het aanwijzen van iemand die verantwoordelijk is voor de beveiliging van uw bedrijf is een begin, maar dat betekent niet dat u vervolgens kunt doen alsof er geen kwetsbaarheden bestaan. Bedrijven die omgaan met gevoelige persoonlijke informatie van consumenten hebben de verantwoordelijkheid om tijdens het hele traject rekening te houden met de beveiliging. Geef personeelstrainingen die passen bij de aard van uw bedrijf en update deze om de huidige risico’s en bedreigingen weer te geven. Zorg er ook voor dat iemand toezicht houdt op toezichthouders wier beslissingen een grote impact hebben op de veiligheid van uw bedrijf.
Wees voorzichtig bij het installeren van apparaten met netwerktoegang. Alsof je een vinger in een stopcontact steekt, voeg toe bepaalde apparaten uw systeem loopt het risico een aanzienlijke schok toe te brengen. Denk na over de gevolgen voor de veiligheid en zorg ervoor dat u dit doet elk apparaat is correct geïnstalleerd.
De GLB-dekking is uitgebreid. De term ‘financiële instelling’ roept misschien beelden op van spaarrekeningen, geldautomaten en pennen die aan tafels zijn vastgeketend, maar dat is niet hoe de Gramm-Leach-Bliley-regels de term definiëren. Bedenk of uw bedrijf een financiële instelling die onderworpen is aan de GLB-vrijwaringsregel.
Als uw bedrijf software of leveranciers van derden gebruikt, zorg dan dat u beveiliging in uw contracten inbouwt. Zelfs als het gedrag van een ander bedrijf betrokken is bij een overtreding, jouw Klantgegevens kunnen gevaar lopen, en ze willen weten wat Jij gedaan om ze te beschermen. Zoals de FTC-publicatie Begin met veiligheid suggereert dat u, wanneer u gegevens toevertrouwt aan externe dienstverleners, uw beveiligingsverwachtingen specificeert, controleert wat zij namens u doen en websites volgt die bekende kwetsbaarheden melden.
Dienstverleners zijn verantwoordelijk voor de bescherming van de persoonlijke gegevens die zij verzamelen en opslaan. Zelfs als uw activiteiten achter de schermen plaatsvinden, kunt u nog steeds aansprakelijk zijn voor overtredingen van de wet. Als u namens andere bedrijven gevoelige consumentengegevens verwerkt, moet beveiliging een aandachtspunt zijn.
