Patch uw software. Segmenteer uw netwerk. Houd indringers in de gaten. Volgens technologie-experts zijn dit de basisprincipes van beveiliging voor bedrijven van elke omvang. Maar als je industriegigant Equifax bent – een bedrijf dat in het bezit is van duizelingwekkende hoeveelheden zeer gevoelige informatie over meer dan 200 miljoen Amerikanen – is het bijna ondenkbaar om deze cruciale beveiligingen niet te implementeren. Een schikking tussen de FTC, CFPB en State AG van minimaal $ 575 miljoen illustreert de schade die consumenten lijden als bedrijven redelijkerwijs voorzienbare (en vermijdbare) bedreigingen voor gevoelige gegevens negeren. Lees verder om beveiligingstips voor uw bedrijf te ontdekken en wat consumenten kunnen doen om compensatie te krijgen voor hun verliezen, en meld u aan voor gratis kredietmonitoring.
Het datalek bij Equifax haalde de krantenkoppen, maar wat gebeurde er achter de schermen? Volgens de klachtIn maart 2017 waarschuwden US-CERT, de cyberexperts van Homeland Security, Equifax en andere bedrijven voor een kritiek beveiligingsprobleem in open source-software die wordt gebruikt om Java-webapplicaties te bouwen. Het advies waarschuwde iedereen die een kwetsbare versie van de software gebruikte om deze onmiddellijk bij te werken naar een gratis, gepatchte versie. Het duurde niet lang voordat de pers berichtte dat hackers al begonnen waren met het misbruiken van de kwetsbaarheid.
Het beveiligingsteam van Equifax ontving de US-CERT-kennisgeving op 9 maart 2017 en stuurde deze naar meer dan 400 medewerkers met instructies dat personeel dat verantwoordelijk is voor de getroffen software binnen 48 uur een patch moest aanbrengen, zoals vereist door het patchbeheerbeleid van het bedrijf. Binnen een week voerde Equifax een scan uit om te zoeken naar kwetsbare vormen van de software die nog op het netwerk aanwezig waren. Maar de door Equifax uitgevoerde scan was niet opgewassen tegen de taak, wat uiteindelijk verwoestend bleek voor de consument. Volgens de klacht gebruikte het bedrijf een verkeerd geconfigureerde automatische scanner die er niet in slaagde te detecteren dat de kwetsbare software nog springlevend was in een deel van het Automated Consumer Interview System (ACIS) van het bedrijf. De rechtszaak beweert dat Equifax de ‘open sesam’-kwetsbaarheid in zijn systeem maandenlang niet heeft ontdekt.
Hoe gevoelig waren de gegevens die op het ACIS-portaal waren opgeslagen? Als het al een tijdje geleden is dat u die regelrechte ‘Home Alone’-kreet liet horen, is dit misschien een goed moment omdat dit het portaal was waar Equifax informatie verzamelde over consumentengeschillen, inclusief documentatie die door consumenten werd geüpload. Bovendien heeft Equifax dat platform gebruikt voor het bevriezen van consumentenkredieten, fraudewaarschuwingen en zelfs verzoeken om een gratis jaarlijks kredietrapport. Daarom hebben miljoenen consumenten elk jaar interactie met het ACIS-portaal. DE klacht schetst de details, maar het volstaat te zeggen dat voor infocriminelen die op zoek zijn naar burgerservicenummers, geboortedata, creditcardnummers, vervaldata en dergelijke, de gegevens op ACIS van topklasse waren.
De schade die consumenten hebben geleden werd nog verergerd door het feit dat ACIS oorspronkelijk in de jaren tachtig werd gebouwd, en zelfs interne documenten van Equifax noemden het ‘archaïsche’ en ‘verouderde technologie’. Bovendien beweert de klacht dat toen Equifax de e-mail naar meer dan 400 werknemers stuurde om hen te waarschuwen voor de noodzaak van de patch, het bedrijf er niet in slaagde het personeelslid dat verantwoordelijk was voor het gedeelte van ACIS met de kwetsbaarheid te waarschuwen.
Equifax slaagde er ruim vier maanden niet in de ongepatchte kwetsbaarheid te ontdekken. Eind juli 2017 identificeerde het beveiligingsteam van het bedrijf verdacht verkeer op het ACIS-portaal. Ze blokkeerden het, maar identificeerden de volgende dag verder twijfelachtig verkeer. Op dat moment haalde Equifax het platform offline en huurde een forensisch adviseur in die de hacker opspoordeS had de kwetsbaarheid al misbruikt. Maar er is erger. De consultant ontdekte dat de aanvallers, eenmaal binnen het ACIS-systeem, toegang konden krijgen tot andere delen van het netwerk en tientallen niet-gerelateerde databases konden doorzoeken die ook zeer gevoelige informatie bevatten. Bovendien hadden ze toegang tot opslag gekoppeld aan ACIS-databases die beheerdersreferenties bevatten die waren opgeslagen in platte tekst, die ze gebruikten om nog gevoeligere gegevens te verkrijgen. Volgens de forensische analyse van Equifax konden de aanvallers (onder andere) ongeveer 147 miljoen namen en geboortedata, 145 miljoen burgerservicenummers en 209.000 creditcard- en debetkaartnummers en vervaldata stelen.
DE klacht beweert dat een reeks acties – en het nalaten om op te treden – door Equifax heeft geleid tot schendingen van de FTC Act en de Gramm-Leach-Bliley Safeguards Regulation, die financiële instellingen verplicht een alomvattend informatiebeveiligingsprogramma te implementeren en te onderhouden. Bijvoorbeeld:
- Equifax controleerde niet of medewerkers het patchproces volgden;
- Equifax kon de noodzaak van een patch niet detecteren omdat het bedrijf een verkeerd geconfigureerde geautomatiseerde scan gebruikte om alle plaatsen te controleren die mogelijk gebruik maakten van de kwetsbare software;
- Equifax slaagde er niet in zijn netwerk te segmenteren om de hoeveelheid gevoelige gegevens die een aanvaller kon stelen te beperken;
- Equifax bewaarde beheerdersreferenties en wachtwoorden in onbeveiligde tekstbestanden;
- Equifax slaagde er niet in beveiligingscertificaten bij te werken die tien maanden geleden zijn verlopen; EN
- Equifax heeft geen inbraken op “verouderde” systemen zoals ACIS gedetecteerd.
In de klacht worden ze genoemd als factoren die bijdragen aan een enorme inbreuk op de persoonlijke informatie van consumenten.
DE schikking vereist dat Equifax minstens 300 miljoen dollar betaalt aan een fonds dat getroffen consumenten kredietbewakingsdiensten zal bieden, individuen zal compenseren die krediet- of identiteitsbewakingsdiensten van Equifax hebben gekocht, en consumenten zal vergoeden voor contante uitgaven die zijn opgelopen als gevolg van de datalek van 2017. Equifax zal nog eens 125 miljoen dollar aan het fonds toevoegen als de initiële betaling niet voldoende is om consumenten te compenseren voor hun verliezen. Equifax zal ook $175 miljoen betalen aan 48 staten, het District of Columbia en Puerto Rico, en een civiele boete van $100 miljoen aan het CFPB. (De FTC heeft geen wettelijke bevoegdheid om in een geval als dit civielrechtelijke sancties te eisen.)
Financiële oplossingen zijn slechts een deel van de oplossing. Volgens het bevel moet Equifax een alomvattend informatiebeveiligingsprogramma implementerenng – onder andere – dat:
- Equifax moet samenwerkenn jaarlijkse beoordelingen van interne en externe veiligheidsrisico’s uitvoeren, waarborgen implementeren om deze aan te pakken en de effectiviteit van deze waarborgen testen;
- Equifax moet aervoor zorgen dat dienstverleners met toegang tot door Equifax opgeslagen persoonlijke informatie ook passende beveiligingsprogramma’s implementeren; EN
- Equifax moet gen jaarlijkse certificeringen van de Raad van Bestuur van Equifax die in feite zeggen: “Ja, ik verklaar dat het bedrijf voldoet aan de ordervereisten van een passend informatiebeveiligingsprogramma.”
De Equifax-schikking is een onderzoek naar hoe veiligheidsmisstappen duizelingwekkende gevolgen kunnen hebben. Hier zijn enkele tips die andere bedrijven uit de zaak kunnen halen – en we hoefden niet ver te zoeken naar advies. De citaten komen allemaal uit de FTC-brochure, Begin met veiligheid.
“Software van derden updaten en patchen.” Bedrijven moeten een beveiligingsadvies van US-CERT met de grootste ernst behandelen. Het 48-uurs patchbeheerbeleid van Equifax ziet er op papier misschien goed uit, maar papier kan een kritieke softwarekwetsbaarheid niet oplossen. Natuurlijk moet u uw IT-team vertellen dat ze de juiste patches en fixes moeten implementeren. Maar u heeft ook een gordel- en bretelsysteem nodig om ervoor te zorgen dat uw bedrijf dit effectief doet.
“Zorg voor een correcte configuratie.” Er is op zichzelf niets mis met het gebruik van een geautomatiseerde kwetsbaarheidsscan, maar als deze niet is ingesteld om te weten waar je moet kijken, is het gewoon weer een verzameling nullen en enen. De klacht beweert dat Equifax het probleem heeft verergerd door geen nauwkeurige inventaris bij te houden van welke systemen welke software draaiden – een belangrijke praktijk die het gemakkelijker zou hebben gemaakt om de kwetsbaarheid in het ACIS-platform te vinden.
“Bewaak de activiteit op uw netwerk.” Wie komt erin en wat komt eruit? Dit is waar een effectieve inbraakdetectietool om vraagt wanneer het ongeoorloofde activiteiten detecteert. Een effectief inbraakdetectiesysteem had Equifax kunnen helpen de kwetsbaarheid eerder te detecteren, waardoor het aantal getroffen consumenten kon worden verminderd.
“Segmenteer uw netwerk.” Het idee achter waterdichte scheepscompartimenten is dat zelfs als één deel van de constructie schade oploopt, het hele schip niet zal zinken. Netwerksegmentatie (het opslaan van gevoelige gegevens op afzonderlijke beveiligde locaties op uw systeem) kan een soortgelijk verzachtend effect hebben. Zelfs als een aanvaller een deel van uw systeem binnendringt, kan een goed gesegmenteerd netwerk helpen voorkomen dat een data-oeps verandert in een regelrechte OMG.
De FTC heeft meer veiligheidstips voor bedrijven. Bent u een consument die getroffen is door de inbreuk op Equifax? Bezoek ftc.gov/equifax (ook verkrijgbaar in Spaans) voor informatie over hoe u compensatie kunt aanvragen.
