De Franse filmklassieker “The Wages of Fear” – in 1977 opnieuw gemaakt als “The Sorcerer” door de Amerikaanse regisseur William Friedkin – was een strakke thriller over een team van stoere mannen die een lading vluchtige nitroglycerine naar een afgelegen locatie in Zuid-Amerika transporteerden. Onderweg komen ze gevaren tegen: een touwbrug die aan een draad over een ondergelopen rivier hangt, een rotsblok dat een kronkelig bergpad blokkeert, en een stuk weg dat zo hol is dat het ‘Het wasbord’ wordt genoemd.
Het verband met de benadering van gegevensbeveiliging door uw bedrijf lijkt misschien niet meteen duidelijk, maar als u gevoelige persoonlijke informatie op uw netwerk of in uw bestanden hebt staan, is er een analogie te trekken. Net zoals uw rijgedrag zou veranderen als u achter het stuur zat met een kofferbak vol nitro, zo zou u ook uw bedrijfspraktijken moeten aanpassen gezien de gevoeligheid van de informatie die u bezit.
Het is een van de principes die in de FTC’s worden geïllustreerd schikking met Ceridiaan Bedrijf. Ceridiaan biedt loonverwerking en andere HR-diensten aan zakelijke klanten. Een product, Powerpayis een webgebaseerd systeem dat kleine bedrijven kunnen gebruiken om werknemersgegevens te verzamelen en op te slaan (bijvoorbeeld namen, adressen, e-mailadressen, telefoonnummers, burgerservicenummers, geboortedata en bankrekeningnummers voor directe storting) om hun loonverwerking te automatiseren.
Zeker, Ceridiaan was zich bewust van de gevoeligheid van de betrokken gegevens. Volgens de eigen contracten is veiligheid van het grootste belang bij het omgaan met de gezondheid van werknemers en salarisgegevens Ceridiaan. Ons uitgebreide beveiligingsprogramma is ontworpen in overeenstemming met de normen uit de ISO 27000-serie, best practices uit de sector en federale, staats- en lokale wettelijke vereisten.”
Maar net als de FTC’s rechtszaak beweringen Ceridiaan zich bezighield met een aantal praktijken die gezamenlijk geen redelijke en adequate beveiliging boden voor de persoonsgegevens die zij verzamelde en bewaarde. Concreet heeft de FTC het bedrijf aangerekend:
- opgeslagen persoonlijke informatie in platte tekst;
- onnodige risico’s creëerde door het voor onbepaalde tijd op zijn netwerk op te slaan zonder dat dit zakelijk nodig was;
- heeft de kwetsbaarheid van haar webapplicaties en netwerk voor algemeen bekende of redelijkerwijs voorzienbare risico’s, zoals SQL-injectieaanvallen, niet adequaat beoordeeld;
- geen direct verkrijgbare gratis of goedkope verdedigingsmechanismen geïmplementeerd; En
- geen redelijke maatregelen heeft genomen om ongeoorloofde toegang te detecteren en te voorkomen.
Als gevolg hiervan, zegt de FTC, hebben hackers deze fouten uitgebuit door een SQL-injectieaanval uit te voeren Powerpay site en webapp die persoonlijke gegevens van bijna 28.000 medewerkers verwerkt Ceridian’s kleinzakelijke klanten, inclusief in sommige gevallen hun burgerservicenummer, bankrekeninggegevens en geboortedata. Om de zaak te beslissen, Ceridiaan haar overeengekomen om een alomvattend informatiebeveiligingsprogramma te implementeren, inclusief onafhankelijke beveiligingsaudits van derden om de twee jaar gedurende de komende twintig jaar.
Wat nemen slimme marketeers mee van de handhavingsmaatregelen van de FTC?
Om sociaal veilig te blijven. Natuurlijk willen bedrijven voorzichtig zijn met alle gegevens die zij bezitten, maar sommige informatie – b.v. CPR-nummers – lopen voorop als het gaat om bescherming. Het versleutelen van het ei wanneer ID-dieven b.v. Creditcardnummers kunnen al lastig genoeg zijn: veel papierwerk waarin ongeautoriseerde afschrijvingen worden betwist en uren aan de telefoon om rekeningen te corrigeren. Maar als het om burgerservicenummers gaat, kunnen de gevolgen de slachtoffers de rest van hun leven achtervolgen. Oké, misschien SSN’s is geen onstabiele nitroglycerine op een verlaten bergweg, maar vertel dat niet aan mensen wier leven op zijn kop staat door identiteitsdiefstal waarbij hun burgerservicenummer betrokken is.
Snoei het laaghangende fruit. Hackers zullen altijd bij ons zijn. Het is dus onze taak om hun werk zo moeilijk mogelijk te maken. Veel van de voorzorgsmaatregelen die de veiligheid van uw netwerk kunnen vergroten, zijn tegen lage of zelfs gratis kosten beschikbaar. Eén eenvoudige stap: neem contact op met uw softwareleveranciers voor patches om nieuwe bedreigingen aan te pakken. Maak er een terugkerende afspraak van in uw agenda, zodat u bij hen kunt navragen of er updates zijn. Bovendien zullen veel programma’s doorgaan en urgente beveiligingspatches en andere oplossingen installeren als uw IT-personeel de functie “automatische updates” inschakelt.
Zeker veiliger. US-CERT (USA Computer Emergency Readiness Team), onderdeel van het Department of Homeland Security, biedt responsondersteuning en verdediging tegen cyberaanvallen en deelt informatie met de overheid en de industrie. De US-CERT Reading Room biedt een schat aan gratis bronnen voor bedrijven van elke omvang. Niet het technische type? US-CERT staat voor u klaar en verdeelt materialen handig in niet-technische categorieën voor drukke managers en technische gegevens voor IT-professionals. Hun site biedt bijvoorbeeld stapsgewijs advies over het beschermen van uw netwerk tegen een SQL-injectieaanval en andere veel voorkomende bedreigingen.
Volgende: Meer FTC-wetshandhaving die zich bezighoudt met gegevensbeveiliging
