Ondernemers dragen veel hoeden. Naast de marketing van hun producten zijn ze verantwoordelijk voor operationele functies zoals het opslaan, bestellen en beschermen van klantgegevens. In plaats van al dat freeswerk te beheren, wenden sommige bedrijven zich tot externe dienstverleners om de zaken achter de schermen te regelen. Maar welke stappen ondernemen deze bedrijven om de vertrouwelijke consumenteninformatie in hun bezit veilig te stellen? Het is een vraag die is gesteld door De voorgestelde schikking van de FTC met het in Utah gevestigde InfoTrax Systems.
InfoTrax levert operationele systemen en online distributeurstools aan de directe verkoopsector. Multi-level marketeers sluiten een contract met InfoTrax om hun webportals te ondersteunen. Via deze portalen registreren mensen zich bij MLM’s als distributeurs, melden nieuwe distributeurs aan en plaatsen bestellingen voor zichzelf en de consumenten die bij hen kopen.
Bij deze transacties zijn grote hoeveelheden gevoelige gegevens betrokken: volledige namen, creditcards en betaalkaarten met vervaldatum en driecijferige CVV-nummers, bankrekeninggegevens, burgerservicenummers, gebruikers-ID’s en wachtwoorden, enz. Laten we duidelijk zijn: we hebben het niet over een naam hier of een rekeningnummer daar. Vanaf september 2016 bewaarde InfoTrax persoonlijke informatie van ongeveer 11,8 miljoen consumenten. Maar volgens de klacht was InfoTrax betrokken bij een reeks gegevensfouten die kwetsbaarheden in zijn netwerk veroorzaakten, zwakke punten die ongeoorloofde toegang tot vertrouwelijke consumenteninformatie mogelijk maakten. De FTC beweert onder meer dat:
- InfoTrax slaagde er niet in voldoende codebeoordeling en penetratietesten uit te voeren om cyberrisico’s te beoordelen;
- InfoTrax heeft geen voorzorgsmaatregelen genomen om kwaadaardige bestandsuploads te detecteren;
- InfoTrax slaagde er niet in om op adequate wijze te beperken waar derden op haar netwerk onbekende bestanden konden uploaden;
- InfoTrax slaagde er niet in zijn netwerk voldoende te segmenteren om ervoor te zorgen dat de distributeurs van de ene klant geen toegang hadden tot de gegevens van een andere klant;
- InfoTrax slaagde er niet in veiligheidsmaatregelen te implementeren om verdachte activiteiten op te sporen – het bedrijf beschikte bijvoorbeeld niet over een effectief inbraakdetectiesysteem om verdachte vragen op te sporen; maakte geen gebruik van tools voor het monitoren van de bestandsintegriteit om te bepalen wanneer bestanden waren gewijzigd en controleerde niet regelmatig op ongeoorloofde pogingen om gevoelige gegevens van zijn netwerk over te dragen;
- InfoTrax heeft vertrouwelijke informatie opgeslagen, waaronder burgerservicenummers, creditcard- en debetkaartnummers, gebruikers-ID’s en wachtwoorden in duidelijke, leesbare tekst; En
- InfoTrax beschikte niet over een systematisch proces voor het verwijderen van persoonlijke informatie van consumenten, het had niet langer een zakelijke noodzaak om deze op zijn netwerk te houden.
Wat er als gevolg van deze fouten gebeurde, mag geen verrassing zijn. Volgens de klacht misbruikte een indringer ergens in 2014 beveiligingsproblemen op de server van InfoTrax en de website van een klant om kwaadaardige code te uploaden die de indringer op afstand toegang gaf tot gegevens op het netwerk van InfoTrax – iets wat in een periode van twee jaar in totaal 17 keer werd gedaan, allemaal zonder dat InfoTrax het probleem ontdekte. Je zult willen lezen klacht voor details, maar de FTC beweert dat de indringer meerdere middelen heeft gebruikt om met zeer gevoelige financiële informatie over de klanten en eindgebruikers van InfoTrax aan de haal te gaan.
Uiteindelijk kreeg InfoTrax op 7 maart 2016, bijna twee jaar nadat de gegevensdiefstallen begonnen, lucht van de vele inbreuken. De tip kwam in de vorm van een waarschuwing dat een van zijn servers de maximale capaciteit had bereikt, een waarschuwing die het bedrijf alleen kreeg omdat een indringer een data-archief had aangelegd dat zo groot was dat de schijf geen ruimte meer had. De FTC zegt dat het bedrijf pas toen stappen heeft ondernomen om de indringer uit zijn netwerk te verwijderen. Maar toch bleef de indringer nog een paar weken gegevens ophalen van de server van InfoTrax.
De klacht beweert dat het onvermogen van InfoTrax om redelijke gegevensbeveiliging te gebruiken om persoonlijke informatie te beschermen een onredelijke praktijk was die in strijd was met de FTC Act. De voorgestelde volgorde vereist dat InfoTrax en de toenmalige CEO Mark Rawlins een uitgebreid informatiebeveiligingsprogramma implementeren, elke twee jaar beoordelingen krijgen en jaarlijks de naleving ervan certificeren. Bovendien voorziet de schikking in specifieke waarborgen om de in de klacht genoemde veiligheidstekortkomingen aan te pakken. De FTC accepteert publieke opmerkingen over de voorgestelde schikking.
Welke inzichten kunnen andere bedrijven uit de case halen?
Direct beschikbare beveiligingshulpmiddelen kunnen risico’s verminderen. De FTC beweert dat InfoTrax het risico voor gevoelige gegevens had kunnen verminderen door direct beschikbare, kosteneffectieve waarborgen te implementeren. Beveiligingsbewuste bedrijven gebruiken bijvoorbeeld tools om ongeoorloofd inkomend en uitgaand verkeer op hun netwerken te monitoren. Dan is er nog de invoervalidatie, die kan bepalen of gegevens van mogelijk niet-vertrouwde sites correct zijn geconfigureerd. Een voorzorgsmaatregel die het risico kan verkleinen dat kwaadaardige code in b.v. een database op uw netwerk. Bovendien kunnen tools voor bestandsintegriteit mogelijk detecteren of een indringer informatie heeft gewijzigd.
Houd de gegevens in uw bezit en verwijder ze op een veilige manier wanneer het niet langer nodig is om ze te onderhouden. Volgens de FTC was een van de databases waarin de indringer inbrak een ouder bestand waarvan InfoTrax niet wist dat het nog op de server stond. De claim laat zien hoe belangrijk het is om te weten wat je hebt en waar je het hebt. Het illustreert ook de wijsheid van het veilig verwijderen van onnodige informatie. Wat je niet meer hebt, hoef je niet te beschermen.
Denk aan de impact die beveiligingsfouten hebben op klanten en opdrachtgevers. Identiteitsdiefstal is altijd een risico wanneer persoonlijke informatie wordt geschonden, maar de klacht voegt in dit geval een menselijk perspectief toe aan de gevolgen van lakse gegevensbeveiliging. Toen een klant van InfoTrax bijvoorbeeld een callcenter inhuurde om te helpen bij reacties op datalekken, rapporteerden consumenten en distributeurs meer dan 280 gevallen van vermeende fraude, waaronder 238 klachten over ongeautoriseerde creditcardkosten, 34 klachten over geopende nieuwe kredietlijnen, 15 klachten over belastingfraude en 1 informatieklacht wegens arbeidsmisbruik. Voor externe dienstverleners met gevoelige consumentengegevens moet ongeëvenaarde beveiliging een prioriteit op het eerste niveau zijn.
