De Franse filmklassieker “The Wages of Fear” – opnieuw gemaakt in 1977 als “The Sorcerer” door de Amerikaanse regisseur William Friedkin – was een spannende thriller over een team van misdadigers die een lading vluchtige nitroglycerine naar een afgelegen locatie in Zuid-Amerika vervoerden. Onderweg komen ze gevaren tegen: een touwbrug die aan een draad over een gezwollen rivier hangt, een rotsblok dat een kronkelig bergpad blokkeert, en een stuk weg zo vol kuilen dat het ‘Het wasbord’ wordt genoemd.
Het verband met de benadering van gegevensbeveiliging door uw bedrijf lijkt misschien niet meteen duidelijk, maar als u gevoelige persoonlijke informatie op uw netwerk of in uw bestanden hebt staan, is er een analogie te trekken. Net zoals uw rijgedrag zou veranderen als u achter het stuur zat met een kofferbak vol nitro, zo moet u de praktijken van uw bedrijf aanpassen, gezien de gevoeligheid van de informatie waarover u beschikt.
Dit is een van de principes die in de FTC worden uitgelegd schikking met Ceridiaan Maatschappij. Ceridiaan biedt loonverwerking en andere HR-diensten aan zakelijke klanten. Een product, Powerpayis een webgebaseerd systeem dat kleine bedrijven kunnen gebruiken om werknemersgegevens te verzamelen en op te slaan, zoals namen, adressen, e-mailadressen, telefoonnummers, burgerservicenummers, geboortedata en bankrekeningnummers voor directe storting, om de loonverwerking te automatiseren.
Zeker, Ceridiaan was zich bewust van de gevoeligheid van de betreffende gegevens. Volgens hun contracten: “Bij het omgaan met de gezondheid van werknemers en salarisgegevens is veiligheid van het grootste belang Ceridiaan. Ons uitgebreide beveiligingsprogramma is ontworpen in overeenstemming met de normen uit de ISO 27000-serie, best practices uit de sector en federale, staats- en lokale wettelijke vereisten.”
Maar net als de FTC oorzaak hij beweert, Ceridiaan betrokken bij een verscheidenheid aan praktijken die er, samen genomen, niet in zijn geslaagd om een redelijke en adequate beveiliging te bieden voor de verzamelde en bewaarde persoonsgegevens. Concreet heeft de FTC het bedrijf het volgende in rekening gebracht:
- persoonlijke informatie opgeslagen in gemakkelijk leesbare tekst;
- onnodige risico’s heeft gecreëerd door deze voor onbepaalde tijd op zijn netwerk op te slaan, zonder dat dit voor het bedrijfsleven nodig is;
- de kwetsbaarheid van haar webapplicaties en netwerk voor algemeen bekende of redelijkerwijs voorzienbare risico’s, zoals SQL-injectieaanvallen, niet adequaat heeft beoordeeld;
- ze hebben geen direct verkrijgbare, gratis of goedkope verdedigingsmechanismen geïmplementeerd; EN
- geen redelijke maatregelen heeft genomen om ongeoorloofde toegang te detecteren en te voorkomen.
Als gevolg hiervan, zegt de FTC, hebben hackers misbruik gemaakt van deze fouten door een SQL-injectieaanval op het bestand uit te voeren Powerpay website en webapp, waarbij de persoonlijke gegevens van bijna 28.000 werknemers werden gestolen Ceridian’s kleine zakelijke klanten, inclusief in sommige gevallen burgerservicenummers, bankrekeninggegevens en geboortedata. Om de zaak op te lossen, Ceridiaan ha overeengekomen een alomvattend informatiebeveiligingsprogramma opgezet, inclusief onafhankelijke beveiligingsaudits van derden om de twee jaar gedurende de komende twintig jaar.
Wat nemen marketeers mee uit de handhavingsmaatregelen van de FTC?
Blijf sociaal veilig. Natuurlijk willen bedrijven zorgvuldig omgaan met alle gegevens die ze hebben, maar sommige informatie – burgerservicenummers bijvoorbeeld – is belangrijk als het om bescherming gaat. Het kan al moeilijk genoeg zijn om het ei weer in elkaar te zetten als identiteitsdieven bijvoorbeeld creditcardnummers weten te bemachtigen: stapels documenten die ongeautoriseerde afschrijvingen betwisten en uren aan de telefoon om de rekeningen te vereffenen. Maar als burgerservicenummers op het spel staan, kunnen de gevolgen de slachtoffers de rest van hun leven achtervolgen. Oké, misschien NHS Ik ben geen schokkerige nitroglycerine op een desolate bergweg, maar vertel dat niet aan mensen wier leven op zijn kop staat door identiteitsdiefstal waarbij hun burgerservicenummer betrokken is.
Snoei laaghangend fruit. Hackers zullen altijd bij ons zijn. Het is dus onze taak om hun werk zo moeilijk mogelijk te maken. Veel van de voorzorgsmaatregelen die de veiligheid van uw netwerk kunnen vergroten, zijn tegen weinig of geen kosten beschikbaar. Eén eenvoudige stap: neem contact op met softwareleveranciers voor patches die nieuwe bedreigingen aanpakken. Maak een terugkerende afspraak in uw agenda om contact met hen op te nemen voor updates. Bovendien zullen veel programma’s urgente beveiligingspatches en andere oplossingen installeren als IT-personeel de functie ‘automatische updates’ inschakelt.
Zeker veiliger. US-CERT (het United States Computer Emergency Readiness Team) maakt deel uit van het Department of Homeland Security en biedt respons- en verdedigingsondersteuning tegen cyberaanvallen en deelt informatie met de overheid en het bedrijfsleven. De US-CERT Reading Room biedt tal van gratis bronnen voor bedrijven van elke omvang. Geen techneut? US-CERT staat voor u klaar en verdeelt de materialen handig in niet-technische categorieën voor drukke leidinggevenden en technische gegevens voor IT-professionals. Hun site biedt bijvoorbeeld stapsgewijs advies over hoe u uw netwerk kunt beschermen tegen een SQL-injectieaanval en andere veelvoorkomende bedreigingen.
Volgende: Meer FTC-wetshandhavingsinstanties die zich bezighouden met gegevensbeveiliging
