Het dominoprincipe. het rimpeleffect. Het vlinderfenomeen. Gebruik de analogie van uw keuze om te beschrijven wat er wanneer gebeurt een software ontwikkelaarDe zogenaamd lakse beveiligingspraktijken resulteren in het schenden van vertrouwelijke klantinformatie die wordt bijgehouden door meer bedrijven die de software gebruiken. Als uw bedrijf een dienstverlener is – of als uw bedrijf externe dienstverleners gebruikt om uw gegevens te helpen beheren – a voorgesteld FTC-schikking winstis jouw aandacht. Een opmerkelijk aspect van de zaak: een voorgesteld uitvoeringsbesluit dat nieuwe gegevensbeveiligingsvereisten omvat die de huidige prioriteit van de Commissie weerspiegelen om haar gegevensbeveiligingsbevelen te actualiseren.
Veel externe dienstverleners verkopen branchespecifieke software voor gegevensbeheer aan consumentgerichte bedrijven. Een voorbeeld is DealerBuilt, software voor autodealers ontwikkeld door LightYear Dealer Technologies. DealerBuilt is een grote naam in de branche en telt enkele van de grootste dealers van het land als klanten. Dealers die een licentie voor de software van DealerBuilt hebben, verzamelen en onderhouden grote hoeveelheden gevoelige financiële, loonadministratie-, boekhoudkundige en andere consumenten- en werknemersinformatie. Dealers die de software gebruiken, kunnen DealerBuilt hun gegevens laten hosten, of ze kunnen deze op hun eigen servers hosten. Bedrijven die voor de tweede optie kiezen, maken regelmatig een back-up van hun databases op het netwerk van DealerBuilt.
Voordat we bij de onvermijdelijke informatie komen die tot handhavingsmaatregelen heeft geleid, laten we even stilstaan bij enkele praktijken van DealerBuilt gedurende de periode die relevant was voor de voorgestelde administratieve maatregelen van de FTC. klacht. Volgens de FTC:
- DealerBuilt sloeg informatie op in duidelijke tekst zonder toegangscontrole of authenticatiebescherming zoals wachtwoorden of tokens. De gegevens die tussen dealers en de back-updatabase van DealerBuilt werden verzonden, waren ook in duidelijke tekst.
- DealerBuilt beschikte niet over een schriftelijk informatiebeveiligingsbeleid.
- DealerBuilt heeft geen redelijke training op het gebied van gegevensbeveiliging gegeven aan werknemers of contractanten.
- DealerBuilt heeft de risico’s voor de gevoelige gegevens op zijn netwerk niet beoordeeld door periodieke risicobeoordelingen uit te voeren of kwetsbaarheids- en penetratietests uit te voeren.
- DealerBuilt maakte geen gebruik van direct beschikbare beveiligingsmaatregelen om onder meer ongeoorloofde pogingen om gevoelige informatie te verzenden te monitoren.
- DealerBuilt heeft geen redelijke controles op de gegevenstoegang ingevoerd, bijvoorbeeld systemen die inkomende verbindingen met bekende IP-adressen beperken of authenticatie vereisen om toegang te krijgen tot back-updatabases.
- DealerBuilt beschikte niet over een redelijk proces voor het selecteren, installeren en beveiligen van apparaten met toegang tot persoonlijke informatie.
Gezien de vermeende beveiligingsfouten, mag wat er daarna gebeurde geen verrassing zijn. Om de beschikbare back-upopslag te vergroten, heeft een medewerker van DealerBuilt in april 2015 een opslagapparaat aangeschaft en op het bedrijfsnetwerk geïnstalleerd. Volgens de FTC heeft het management van DealerBuilt geen stappen ondernomen om ervoor te zorgen dat het apparaat veilig was geïnstalleerd. Als iemand het had gecontroleerd, zou hij hebben vernomen dat het apparaat een open verbindingspoort creëerde die informatieoverdracht mogelijk maakte.
Snel vooruit naar eind oktober 2016, toen een hacker door de open poort ‘liep’ om ongeautoriseerde toegang te krijgen tot de back-updatabase van DealerBuilt, inclusief de niet-gecodeerde persoonlijke informatie van meer dan 12 miljoen consumenten die 130 van zijn klant-dealers bij het bedrijf hadden opgeslagen. De hacker viel het systeem meerdere keren aan en downloadde persoonlijke informatie van 69.283 consumenten en volledige back-upmappen van vijf retailers. En dat is nog niet alles, want lange tijd werden de onveilige instellingen van DealerBuilt geïndexeerd op een openbare website die hackers gebruikten om onveilige aangesloten apparaten te lokaliseren. Wat is er uiteindelijk gestolen? Onder andere de CPR-nummers van consumenten, rijbewijsnummers en geboortedata, maar ook salaris- en financiële informatie over de medewerkers van de retailer – vijfsterrenfavorieten onder identiteitsdieven.
DealerBuilt hoorde van de inbreuk op 7 november 2016, toen een dealer belde en vroeg waarom klantgegevens openbaar beschikbaar waren op internet. Volgens de FTC werd het bedrijf pas bewust van de open poort op zijn opslagapparaat toen een verslaggever DealerBuilt vertelde over het beveiligingsprobleem.
Tel 1 van klacht zou FTC-kijkers bekend moeten voorkomen. De FTC beweert dat het onvermogen van het bedrijf om mensen aan te nemen redelijk is beveiliging maatregelen waren een oneerlijke praktijk die in strijd was met de FTC Act. Punt 2 is vooral opmerkelijk omdat DealerBuilt voldoet aan de definitie van ‘financiële instelling’ in de Gramm-Leach-Bliley Act. Het leidt tot naleving GLB-veiligheidsmaatregelen zijn regelwaarvan de FTC beweert dat DealerBuilt is geschonden door, onder andere, het nalaten een schriftelijk informatiebeveiligingsprogramma te ontwikkelen, implementeren en onderhouden; er niet in slaagt redelijkerwijs voorzienbare risico’s voor de veiligheid, vertrouwelijkheid en integriteit van klantinformatie te identificeren; en het niet implementeren van basisveiligheidsmaatregelen en het regelmatig testen van de effectiviteit ervan.
Om de zaak te schikken, heeft het bedrijf ingestemd met een voorgestelde volgorde die opmerkelijke nieuwe bepalingen bevat u zorgvuldig wilt beoordelen. Net als de orders in de Clixsense- en iDressup-zaken die in april zijn aangekondigd, vereist de voorgestelde order in deze zaak dat een senior DealerBuilt-functionaris de FTC jaarlijkse certificeringen van naleving verstrekt. Het bevel vereist ook dat DealerBuilt specifieke, afdwingbare beveiligingsmaatregelen implementeert die de in de klacht genoemde problemen aanpakken – bijvoorbeeld door het bedrijf te verplichten jaarlijkse personeelstrainingen te geven, zijn systemen te monitoren op gegevensbeveiligingsincidenten, toegangscontroles en opslagapparaten op zijn netwerk te implementeren. Bovendien brengt het voorgestelde besluit aanzienlijke wijzigingen aan om de aansprakelijkheid van de externe beoordelaar die verantwoordelijk is voor het beoordelen van het gegevensbeveiligingsprogramma van DealerBuilt verder te verbeteren. Bovendien geeft het bevel de FTC meer toegang tot documenten en ander materiaal waarop de beoordelaar zijn conclusies baseert.
Waarom de bijgewerkte schikkingsvoorwaarden? De meer specifieke regelgeving, de verplichte focus van het topmanagement op veiligheidsvraagstukken, de diepgaandekijk onder de motorkapEr is een evaluatie vereist van beoordelaars en nieuwe FTC-monitoringinstrumenten zijn allemaal ontworpen om de naleving van bevelen en – indien nodig – handhaving te garanderen.
Zodra de voorgestelde schikking in het Federal Register is gepubliceerd, accepteert de FTC openbare commentaren gedurende 30 dagen. Wat kunnen andere bedrijven uit de zaak halen?
Train en begeleid uw medewerkers zodat ze veiligheid centraal stellen. Iemand aanwijzen die verantwoordelijk is voor de beveiliging van uw bedrijf is een begin, maar dat betekent niet dat u vervolgens kunt doen alsof er geen kwetsbaarheden bestaan. Bedrijven die gevoelige persoonlijke gegevens van consumenten verwerken, hebben de verantwoordelijkheid om overal rekening mee te houden. Geef personeelstrainingen die passen bij de aard van uw bedrijf en update deze om de huidige risico’s en bedreigingen weer te geven. Zorg er daarnaast voor dat iemand toezicht houdt op de toezichthouders wier beslissingen een grote impact hebben op de veiligheid van uw bedrijf.
Wees voorzichtig bij het installeren van apparaten met netwerktoegang. Alsof je een vinger in een stopcontact steekt, voeg toe bepaalde eenheden uw systeem riskeert een aanzienlijke schok. Denk goed na over de gevolgen voor de veiligheid en zorg ervoor dat u dat doet elke entiteit is correct geïnstalleerd.
De GLB-dekking is breed. De term ‘financiële instelling’ roept misschien beelden op van bankboeken, kassa’s en pennen die aan tafels zijn vastgeketend, maar dat is niet hoe de Gramm-Leach-Bliley-regels de term definiëren. Overweeg of uw bedrijf er één zou kunnen zijn financiële instelling die onderworpen is aan de GLB Safeguards Rule.
Als uw bedrijf software of leveranciers van derden gebruikt, moet u beveiliging in uw contracten inbouwen. Zelfs als het gedrag van een ander bedrijf betrokken is bij een inbreuk, jouw klantgegevens kunnen in gevaar komen, en ze willen weten wat Jij deed om hen te beschermen. Zoals de publicatie van de FTC Begin met beveiliging suggereert dat wanneer u gegevens toevertrouwt aan externe dienstverleners, u uw veiligheidsverwachtingen duidelijk moet maken, moet controleren wat zij namens u doen en websites moet volgen die bekende kwetsbaarheden melden.
Dienstverleners zijn verantwoordelijk voor de bescherming van de persoonlijke gegevens die zij verzamelen en opslaan. Zelfs als uw activiteiten achter de schermen plaatsvinden, kunt u nog steeds aansprakelijk zijn voor overtredingen van de wet. Als u namens andere bedrijven met gevoelige consumentengegevens omgaat, moet beveiliging voorop staan.
