Patch uw software. Segmenteer uw netwerk. Houd toezicht op indringers. Volgens technische experts is het fundamentele veiligheid voor bedrijven van elke omvang. Maar als je industriegigant Equifax bent – een bedrijf dat in het bezit is van duizelingwekkende hoeveelheden zeer vertrouwelijke informatie over meer dan 200 miljoen Amerikanen – is het bijna ondenkbaar dat je deze basisbeschermingsmaatregelen niet implementeert. Een schikking van de FTC, CFPB en State AG van ten minste $ 575 miljoen illustreert de schade voor consumenten wanneer bedrijven redelijkerwijs voorzienbare (en vermijdbare) bedreigingen voor gevoelige gegevens negeren. Lees verder voor veiligheidstips voor uw bedrijf en wat consumenten kunnen doen om compensatie te krijgen voor hun verliezen en zich aan te melden voor gratis kredietmonitoring.
Het datalek bij Equifax haalde de krantenkoppen, maar wat gebeurde er achter de schermen? Volgens klachtin maart 2017 waarschuwde US-CERT – de cyberexperts van Homeland Security – Equifax en andere bedrijven voor een kritiek beveiligingsprobleem in open source software die wordt gebruikt om Java-webapplicaties te bouwen. De waarschuwing waarschuwde iedereen die een kwetsbare versie van de software gebruikte om deze onmiddellijk bij te werken naar een gratis gepatchte versie. Het duurde niet lang voordat de pers berichtte dat hackers al begonnen waren met het misbruiken van de kwetsbaarheid.
Het beveiligingsteam van Equifax ontving de US-CERT-waarschuwing op 9 maart 2017 en stuurde deze naar meer dan 400 werknemers met instructies dat werknemers die verantwoordelijk zijn voor de getroffen software deze binnen 48 uur zouden patchen, zoals vereist door het Patch Management Policy van het bedrijf. Binnen een week voerde Equifax een scan uit om te zoeken naar kwetsbare vormen van de software die nog op het netwerk aanwezig waren. Maar de scan die Equifax uitvoerde voldeed niet aan de taak, wat uiteindelijk rampzalig bleek voor de consument. Volgens de klacht gebruikte het bedrijf een verkeerd geconfigureerde automatische scanner die er niet in slaagde te detecteren dat de kwetsbare software nog springlevend was in een deel van het Automated Consumer Interview System (ACIS) van het bedrijf. De rechtszaak beweert dat Equifax de ‘open sesam’-kwetsbaarheid in zijn systeem maandenlang niet heeft ontdekt.
Hoe gevoelig waren de gegevens die op het ACIS-portaal waren opgeslagen? Als het al een tijdje geleden is dat je die hand-in-je-gezicht-schreeuw van ‘Home Alone’ hebt gedaan, wordt het misschien tijd, want dat was het portaal waar Equifax informatie verzamelde over consumentengeschillen, inclusief documentatie die door consumenten werd geüpload. Daarnaast gebruikte Equifax dit platform voor het bevriezen van consumentenkredieten, fraudewaarschuwingen en zelfs verzoeken om een gratis jaarlijks kredietrapport. Zo hebben miljoenen consumenten elk jaar interactie met het ACIS-portaal. De klacht schetst de details, maar het volstaat te zeggen dat voor informatiecriminelen die op zoek zijn naar burgerservicenummers, geboortedata, creditcardnummers, vervaldata en dergelijke, de ACIS Grade A-gegevens van cruciaal belang waren.
Wat de schade voor de consument nog groter maakte, was het feit dat ACIS oorspronkelijk in de jaren tachtig werd gebouwd, en dat zelfs interne documenten van Equifax het ‘archaïsche’ en ‘verouderde technologie’ noemden. Bovendien beweert de klacht dat toen Equifax die e-mail naar meer dan 400 van zijn werknemers stuurde om hen te waarschuwen voor de noodzaak van de patch, het bedrijf de werknemer die verantwoordelijk was voor het deel van ACIS dat de kwetsbaarheid vertoonde, niet had gewaarschuwd.
Equifax slaagde er ruim vier maanden niet in de ongepatchte kwetsbaarheid te ontdekken. Eind juli 2017 ontdekte het beveiligingsteam van het bedrijf verdacht verkeer op het ACIS-portaal. Ze blokkeerden het, maar identificeerden de volgende dag extra twijfelachtig verkeer. Op dat moment haalde Equifax het platform offline en huurde een forensisch adviseur in, die de hacker ontdekteP had de kwetsbaarheid al misbruikt. Maar het wordt nog erger. De consultant ontdekte dat aanvallers, eenmaal binnen het ACIS-systeem, toegang konden krijgen tot andere delen van het netwerk en door tientallen niet-gerelateerde databases konden snuffelen die ook zeer vertrouwelijke informatie bevatten. Bovendien kregen ze toegang tot een repository die was verbonden met de ACIS-databases en die beheerdersreferenties bevatte die waren opgeslagen in platte tekst, die ze gebruikten om nog gevoeligere gegevens te verkrijgen. Volgens de forensische analyse van Equifax konden de aanvallers (onder andere) ongeveer 147 miljoen namen en geboortedata, 145 miljoen burgerservicenummers en 209.000 creditcard- en debetkaartnummers en vervaldata stelen.
De klacht beweert dat een aantal acties van Equifax – en het nalaten ervan – hebben geleid tot overtredingen van de FTC Act en de Gramm-Leach-Bliley Safeguards Rule, die financiële instellingen verplichten een alomvattend informatiebeveiligingsprogramma te implementeren en te onderhouden. Bijvoorbeeld:
- Equifax heeft niet gecontroleerd of werknemers het updateproces volgden;
- Equifax kon niet detecteren dat er een patch nodig was, omdat het bedrijf een geautomatiseerde scan gebruikte die niet goed was geconfigureerd om alle sites te controleren die mogelijk gebruik maakten van de kwetsbare software;
- Equifax slaagde er niet in zijn netwerk te segmenteren om te beperken hoeveel gevoelige gegevens een aanvaller kon stelen;
- Equifax bewaarde beheerdersreferenties en wachtwoorden in onbeveiligde tekstbestanden;
- Equifax kon geen beveiligingscertificaten bijwerken die tien maanden eerder waren verlopen; En
- Equifax heeft de inbreuk op “verouderde” systemen zoals ACIS niet gedetecteerd.
In de klacht worden deze factoren genoemd als factoren die hebben bijgedragen aan een enorme inbreuk op de persoonlijke informatie van consumenten.
De schikking vereist dat Equifax minstens 300 miljoen dollar stort in een fonds dat getroffen consumenten kredietbewakingsdiensten zal bieden, mensen zal compenseren die krediet- of identiteitsbewakingsdiensten van Equifax hebben gekocht, en consumenten zal vergoeden voor contante uitgaven die zijn opgelopen als gevolg van de datalek van 2017. Equifax zal nog eens 125 miljoen dollar aan het fonds toevoegen als de initiële betaling niet voldoende is om consumenten te compenseren voor hun verliezen. Equifax zal ook $175 miljoen betalen aan 48 staten, het District of Columbia en Puerto Rico, en een civiele boete van $100 miljoen aan het CFPB. (De FTC heeft niet de wettelijke bevoegdheid om in een geval als dit civielrechtelijke sancties te eisen.)
Financiële oplossingen vormen slechts een deel van de schikking. Volgens het bevel moet Equifax uitgebreide programmavereisten voor informatiebeveiliging implementerenng – onder andere – dat:
- Equifax moet samenwerkenjaarlijkse beoordelingen uitvoeren van interne en externe veiligheidsrisico’s, beveiligingsmaatregelen implementeren om deze aan te pakken en de effectiviteit van die beveiligingsmaatregelen testen;
- Equifax moet aervoor zorgen dat dienstverleners met toegang tot door Equifax opgeslagen persoonlijke informatie ook passende beveiligingsprogramma’s implementeren; En
- Equifax moet geen jaarlijkse certificering van de raad van bestuur van Equifax die in wezen zegt: “Ja, ik verklaar dat het bedrijf voldoet aan de vereisten van de order voor een adequaat informatiebeveiligingsprogramma.”
De Equifax-schikking is een onderzoek naar hoe fundamentele veiligheidsgebreken onthutsende gevolgen kunnen hebben. Hier zijn enkele tips die andere bedrijven uit de zaak kunnen halen – en we hoefden niet ver te zoeken naar advies. De citaten komen allemaal uit de brochure van de FTC, Begin met veiligheid.
“Software van derden updaten en patchen.” Bedrijven moeten een beveiligingswaarschuwing van US-CERT met de grootste ernst behandelen. Het 48-uurs patchbeheerbeleid van Equifax zag er op papier misschien goed uit, maar papier kan een kritieke softwarekwetsbaarheid niet oplossen. Uiteraard moet u uw IT-team vragen de juiste patches en fixes te implementeren. Maar u heeft ook een riem- en beugelsysteem nodig om ervoor te zorgen dat uw bedrijf effectief zijn werk kan doen.
“Zorg voor een juiste configuratie.” Er is op zichzelf niets mis met het gebruik van een geautomatiseerde kwetsbaarheidsscan, maar als deze niet is ingesteld om te weten waar je moet kijken, is het gewoon weer een verzameling nullen en enen. De klacht beweert dat Equifax het probleem heeft verergerd door niet nauwkeurig bij te houden welke systemen welke software draaiden – een basispraktijk die het gemakkelijker zou hebben gemaakt om de kwetsbaarheid in het ACIS-platform te vinden.
“Bewaak de activiteit op uw netwerk.” Wie komt er binnen en wat gaat er uit? Dat is wat een effectieve inbraakdetectietool vraagt wanneer het ongeoorloofde activiteit detecteert. Een effectief inbraakdetectiesysteem had Equifax kunnen helpen de kwetsbaarheid eerder te detecteren, waardoor het aantal getroffen consumenten kon afnemen.
“Segmenteer uw netwerk.” Het idee achter de waterdichte compartimenten van schepen is dat zelfs als een deel van de constructie schade oploopt, het hele schip niet zal zinken. Het segmenteren van uw netwerk – het opslaan van gevoelige gegevens op afzonderlijke beveiligde locaties op uw systeem – kan een soortgelijk verzachtend effect hebben. Zelfs als een aanvaller een deel van uw systeem binnensluipt, kan een goed gesegmenteerd netwerk helpen voorkomen dat een data-oeps verandert in een regelrechte OMG.
De FTC heeft meer veiligheidsadvies voor bedrijven. Bent u een consument die getroffen is door de inbreuk op Equifax? Bezoek ftc.gov/equifax (ook te vinden in Spaans) voor informatie over hoe u compensatie kunt aanvragen.
