Patch uw software. Segmenteer uw netwerk. Houd toezicht op indringers. Volgens technologie-experts zijn dit de basisprincipes van beveiliging voor bedrijven van elke omvang. Maar als je industriegigant Equifax bent – een bedrijf dat in het bezit is van duizelingwekkende hoeveelheden zeer vertrouwelijke informatie over meer dan 200 miljoen Amerikanen – is het bijna ondenkbaar om die fundamentele beschermingsmaatregelen niet te implementeren. Een schikking van de FTC, CFPB en State AG van ten minste $ 575 miljoen illustreert de schade voor consumenten wanneer bedrijven redelijkerwijs voorzienbare (en vermijdbare) bedreigingen voor gevoelige gegevens negeren. Lees verder voor beveiligingstips voor uw bedrijf en wat consumenten kunnen doen om compensatie te krijgen voor hun verliezen en zich aan te melden voor gratis kredietmonitoring.
Het datalek bij Equifax haalde de krantenkoppen, maar wat gebeurde er achter de schermen? Volgens de klachtIn maart 2017 waarschuwde US-CERT – de cyberexperts van Homeland Security – Equifax en andere bedrijven over een kritiek beveiligingsprobleem in open-sourcesoftware die wordt gebruikt om Java-webapplicaties te bouwen. De waarschuwing waarschuwde iedereen die een kwetsbare versie van de software gebruikte om deze onmiddellijk bij te werken naar een gratis gepatchte versie. Het duurde niet lang voordat de pers berichtte dat hackers al begonnen waren de kwetsbaarheid te misbruiken.
Het beveiligingsteam van Equifax ontving de US-CERT-waarschuwing op 9 maart 2017 en stuurde deze naar meer dan 400 werknemers met instructies dat de stafleden die verantwoordelijk zijn voor de getroffen software deze binnen 48 uur moesten patchen, zoals vereist door het Patch Management Policy van het bedrijf. Binnen een week voerde Equifax een scan uit om te zoeken naar kwetsbare vormen van de software die nog op het netwerk aanwezig waren. Maar de door Equifax uitgevoerde scan voldeed niet aan de taak, wat uiteindelijk verwoestend bleek voor de consument. Volgens de klacht gebruikte het bedrijf een onjuist geconfigureerde automatische scanner die er niet in slaagde te detecteren dat de kwetsbare software springlevend was in een deel van het Automated Consumer Interview System (ACIS) van het bedrijf. De rechtszaak beweert dat Equifax de “open sesam”-kwetsbaarheid in zijn systeem maandenlang niet heeft ontdekt.
Hoe gevoelig waren de gegevens die op het ACIS-portaal waren opgeslagen? Als het al een tijdje geleden is dat je die hands-on-face schreeuw van ‘Home Alone’ hebt geuit, is dit misschien het moment omdat dit het portaal was waar Equifax informatie verzamelde over consumentengeschillen, inclusief documentatie die door consumenten werd geüpload. Bovendien gebruikte Equifax dat platform voor het bevriezen van consumentenkredieten, fraudewaarschuwingen en zelfs verzoeken om een gratis jaarlijks kredietrapport. Zo hebben miljoenen consumenten elk jaar interactie met het ACIS-portaal. De klacht schetst de details, maar het volstaat te zeggen dat voor infocriminelen die op zoek zijn naar burgerservicenummers, geboortedata, creditcardnummers, vervaldata en dergelijke, de gegevens op ACIS eersteklas spul waren.
De schade voor consumenten werd nog verergerd door het feit dat ACIS oorspronkelijk in de jaren tachtig werd gebouwd en dat zelfs interne Equifax-documenten het ‘archaïsche’ en ‘verouderde technologie’ noemden. Bovendien beweert de klacht dat toen Equifax die e-mail naar meer dan 400 van zijn werknemers stuurde om hen te waarschuwen voor de noodzaak van de patch, het bedrijf het personeelslid dat verantwoordelijk was voor het onderdeel van ACIS met de kwetsbaarheid niet had gewaarschuwd.
Equifax slaagde er ruim vier maanden niet in de ongepatchte kwetsbaarheid te ontdekken. Eind juli 2017 ontdekte het beveiligingsteam van het bedrijf verdacht verkeer op het ACIS-portaal. Ze blokkeerden het, maar identificeerden de volgende dag extra twijfelachtig verkeer. Op dat moment haalde Equifax het platform offline en huurde een forensisch adviseur in die de hacker opspoordeS had de kwetsbaarheid al misbruikt. Maar het wordt nog erger. De consultant kwam erachter dat aanvallers, eenmaal binnen het ACIS-systeem, toegang konden krijgen tot andere delen van het netwerk en tientallen niet-gerelateerde databases konden doorzoeken die ook zeer vertrouwelijke informatie bevatten. Bovendien hadden ze toegang tot een opslagruimte die was verbonden met de ACIS-databases en die beheerdersreferenties bevatte die waren opgeslagen in platte tekst, die ze gebruikten om nog gevoeligere gegevens te verzamelen. Volgens de forensische analyse van Equifax konden aanvallers (onder andere) ongeveer 147 miljoen namen en geboortedata, 145 miljoen burgerservicenummers en 209.000 creditcard- en debetkaartnummers en vervaldata stelen.
De klacht beweert dat een aantal acties van Equifax – en het nalaten om op te treden – hebben geleid tot schendingen van de FTC Act en de Gramm-Leach-Bliley Safeguards Rule, die financiële instellingen verplicht een alomvattend informatiebeveiligingsprogramma te implementeren en te onderhouden. Bijvoorbeeld:
- Equifax controleerde niet of medewerkers het patchproces volgden;
- Equifax kon niet detecteren dat er een patch nodig was, omdat het bedrijf een geautomatiseerde scan gebruikte die niet goed was geconfigureerd om alle plaatsen te controleren die mogelijk gebruik maakten van de kwetsbare software;
- Equifax slaagde er niet in zijn netwerk te segmenteren om te beperken hoeveel gevoelige gegevens een aanvaller kon stelen;
- Equifax bewaarde beheerdersreferenties en wachtwoorden in onbeveiligde tekstbestanden;
- Equifax slaagde er niet in beveiligingscertificaten bij te werken die tien maanden eerder waren verlopen; En
- Equifax heeft geen indringers op “verouderde” systemen zoals ACIS gedetecteerd.
In de klacht worden deze factoren genoemd als factoren die hebben bijgedragen aan een enorme inbreuk op de persoonlijke informatie van consumenten.
De schikking vereist dat Equifax ten minste $300 miljoen betaalt aan een fonds dat getroffen consumenten kredietbewakingsdiensten zal bieden, mensen zal compenseren die krediet- of identiteitsbewakingsdiensten van Equifax hebben gekocht, en consumenten zal vergoeden voor contante uitgaven die zijn gemaakt als gevolg van de 2017 datalek. Equifax zal nog eens 125 miljoen dollar aan het fonds toevoegen als de initiële betaling niet voldoende is om consumenten te compenseren voor hun verliezen. Equifax zal ook 175 miljoen dollar betalen aan 48 staten, het District of Columbia en Puerto Rico, en een civiele boete van 100 miljoen dollar aan het CFPB. (De FTC heeft geen wettelijke bevoegdheid om civielrechtelijke sancties op te leggen in een geval als dit.)
Financiële oplossingen vormen slechts een deel van de schikking. Volgens het bevel moet Equifax een alomvattend informatiebeveiligingsprogramma implementeren dat vereist isng – onder andere – dat:
- Equifax moet samenwerkenjaarlijkse beoordelingen van interne en externe veiligheidsrisico’s uitvoeren, waarborgen implementeren om deze aan te pakken, en de effectiviteit van deze waarborgen testen;
- Equifax moet aervoor zorgen dat dienstverleners met toegang tot door Equifax opgeslagen persoonlijke informatie ook passende beveiligingsprogramma’s implementeren; En
- Equifax moet gen jaarlijkse certificeringen van de Raad van Bestuur van Equifax die in feite zeggen: “Ja, ik verklaar dat het bedrijf voldoet aan de eis van het bevel van een passend informatiebeveiligingsprogramma.”
De Equifax-schikking is een onderzoek naar hoe fundamentele veiligheidsfouten verbijsterende gevolgen kunnen hebben. Hier zijn enkele tips die andere bedrijven uit de zaak kunnen halen – en we hoefden niet ver te zoeken naar advies. De citaten komen allemaal uit de brochure van de FTC, Begin met beveiliging.
“Software van derden bijwerken en patchen.” Bedrijven moeten een veiligheidswaarschuwing van US-CERT met de grootste ernst behandelen. Het 48-uurs patchbeheerbeleid van Equifax zag er op papier misschien goed uit, maar papier kan een kritieke softwarekwetsbaarheid niet repareren. Natuurlijk moet u uw IT-team vertellen dat ze de juiste patches en fixes moeten implementeren. Maar u heeft ook een riem-en-bretelsysteem nodig om ervoor te zorgen dat uw bedrijf effectief zijn werk doet.
“Zorg voor een juiste configuratie.” Er is op zichzelf niets mis met het gebruik van een geautomatiseerde kwetsbaarheidsscan, maar als deze niet is ingesteld om te weten waar je moet kijken, is het gewoon weer een verzameling nullen en enen. De klacht beweert dat Equifax het probleem heeft verergerd door geen nauwkeurige inventaris bij te houden van welke systemen welke software draaiden – een fundamentele praktijk die het gemakkelijker zou hebben gemaakt om de kwetsbaarheid in het ACIS-platform te vinden.
“Bewaak de activiteit op uw netwerk.” Wie komt er binnen en wat gaat er uit? Dat is wat een effectieve inbraakdetectietool vraagt wanneer het ongeoorloofde activiteit waarneemt. Een effectief systeem voor inbraakdetectie had Equifax kunnen helpen de kwetsbaarheid eerder op te sporen, waardoor het aantal getroffen consumenten kon afnemen.
“Segmenteer uw netwerk.” Het idee achter de waterdichte compartimenten van schepen is dat zelfs als één deel van de constructie schade oploopt, het hele schip niet ten onder zal gaan. Het segmenteren van uw netwerk – het opslaan van gevoelige gegevens op afzonderlijke beveiligde plaatsen op uw systeem – kan een soortgelijk verzachtend effect hebben. Zelfs als een aanvaller een deel van uw systeem binnensluipt, kan een op de juiste manier gesegmenteerd netwerk helpen voorkomen dat een data-oeps verandert in een volwaardige OMG.
De FTC heeft meer veiligheidsadvies voor bedrijven. Bent u een consument die getroffen is door de inbreuk op Equifax? Bezoek ftc.gov/equifax (ook verkrijgbaar in Spaans) voor informatie over het aanvragen van compensatie.