Het dominoprincipe. Het rimpeleffect. Het vlinderfenomeen. Pas de analogie van uw keuze toe om te beschrijven wat er wanneer gebeurt een software ontwikkelaarDe zogenaamd lakse beveiligingspraktijken resulteren in het schenden van vertrouwelijke klantinformatie die wordt bijgehouden door meerdere bedrijven die de software gebruiken. Als uw bedrijf een dienstverlener is – of als uw bedrijf externe dienstverleners gebruikt om uw gegevens te helpen beheren – a voorgesteld FTC-schikking verdiensteHet is jouw aandacht. Een opmerkelijk aspect van de zaak: een voorgesteld bevel dat nieuwe gegevensbeveiligingsvereisten omvat die de huidige prioriteit van de Commissie weerspiegelen om haar gegevensbeveiligingsbevelen bij te werken.

Veel externe dienstverleners verkopen branchespecifieke software voor gegevensbeheer aan consumentengerichte bedrijven. Een voorbeeld is DealerBuilt, software voor autodealers ontwikkeld door LightYear Dealer Technologies. DealerBuilt is een grote naam in de branche en heeft enkele van de grootste dealers van het land als klant. Dealers die een licentie voor de software van DealerBuilt hebben, verzamelen en bewaren grote hoeveelheden gevoelige financiële, salaris-, boekhoudkundige en andere informatie over consumenten en werknemers. Dealers die de software gebruiken, kunnen hun gegevens door DealerBuilt laten hosten of ze kunnen deze op hun eigen servers hosten. Bedrijven die voor de tweede optie kiezen, maken regelmatig een back-up van hun databases op het netwerk van DealerBuilt.

Voordat we ingaan op de onvermijdelijke informatie die tot actie van de wetshandhaving heeft geleid, laten we even pauzeren om een ​​aantal praktijken van DealerBuilt te bekijken gedurende de periode die relevant is voor de voorgestelde administratieve maatregelen van de FTC. klacht. Volgens de FTC:

  • DealerBuilt sloeg informatie op in duidelijke tekst, zonder enige toegangscontrole of authenticatiebescherming zoals wachtwoorden of tokens. De gegevens die tussen dealers en de back-updatabase van DealerBuilt werden verzonden, waren ook in duidelijke tekst.
  • DealerBuilt beschikte niet over een schriftelijk informatiebeveiligingsbeleid.
  • DealerBuilt heeft geen redelijke training op het gebied van gegevensbeveiliging gegeven aan werknemers of contractanten.
  • DealerBuilt heeft de risico’s voor de gevoelige gegevens op zijn netwerk niet beoordeeld door periodieke risicobeoordelingen uit te voeren of kwetsbaarheids- en penetratietests uit te voeren.
  • DealerBuilt maakte geen gebruik van direct beschikbare beveiligingsmaatregelen om onder meer ongeoorloofde pogingen om gevoelige informatie over te dragen te monitoren.
  • DealerBuilt heeft geen redelijke controles op de gegevenstoegang ingevoerd, bijvoorbeeld systemen die inkomende verbindingen met bekende IP-adressen beperken of authenticatie vereisen om toegang te krijgen tot back-updatabases.
  • DealerBuilt beschikte niet over een redelijk proces om apparaten met toegang tot persoonlijke informatie te selecteren, installeren en beveiligen.

Tegen de achtergrond van vermeende veiligheidsfouten mag wat er daarna gebeurde geen verrassing zijn. Om de beschikbare back-upopslag te vergroten, kocht een medewerker van DealerBuilt een opslagapparaat en installeerde dit in april 2015 op het netwerk van het bedrijf. Volgens de FTC heeft het management van DealerBuilt geen stappen ondernomen om ervoor te zorgen dat het apparaat veilig was geïnstalleerd. Als iemand dit had gecontroleerd, zou hij hebben vernomen dat het apparaat een open verbindingspoort had gecreëerd die de overdracht van informatie mogelijk maakte.

Snel vooruit naar eind oktober 2016, toen een hacker door die open poort ‘liep’ om ongeoorloofde toegang te krijgen tot de back-updatabase van DealerBuilt, inclusief de niet-gecodeerde persoonlijke informatie van meer dan 12 miljoen consumenten die 130 van zijn klantdealers bij het bedrijf hadden opgeslagen. De hacker viel het systeem meerdere keren aan en downloadde de persoonlijke gegevens van 69.283 consumenten en de volledige back-upmappen van vijf dealers. En dat is nog niet alles, want gedurende een aanzienlijke periode werden de onveilige instellingen van DealerBuilt geïndexeerd op een openbare website die hackers gebruiken om onveilige aangesloten apparaten te lokaliseren. Wat is er uiteindelijk gestolen? Onder andere burgerservicenummers, rijbewijsnummers en geboortedata van consumenten, evenals loon- en financiële informatie over medewerkers van dealerbedrijven – vijfsterrenfavorieten van identiteitsdieven.

DealerBuilt hoorde van de inbreuk op 7 november 2016, toen een dealer belde en vroeg waarom klantgegevens openbaar toegankelijk waren op internet. Volgens de FTC werd het bedrijf pas bewust van de open poort op zijn opslagapparaat toen een verslaggever DealerBuilt vertelde over het beveiligingsprobleem.

Tel 1 van de klacht zou FTC-kijkers bekend moeten voorkomen. De FTC beweert dat het onvermogen van het bedrijf om redelijk personeel in dienst te nemen beveiliging maatregelen was een oneerlijke praktijk, in strijd met de FTC Act. Punt 2 verdient een speciale vermelding omdat DealerBuilt voldoet aan de definitie van “financiële instelling” van de Gramm-Leach-Bliley Act. Dat leidt tot naleving van de GLB-waarborgregeldat volgens de FTC door DealerBuilt is geschonden door – onder andere – het nalaten een schriftelijk informatiebeveiligingsprogramma te ontwikkelen, implementeren en onderhouden; het niet identificeren van redelijkerwijs voorzienbare risico’s voor de veiligheid, vertrouwelijkheid en integriteit van klantinformatie; en het niet implementeren van basiswaarborgen en het regelmatig testen van de effectiviteit ervan.

Om de zaak te schikken, heeft het bedrijf ingestemd met een voorgestelde volgorde waarin opmerkelijke nieuwe bepalingen zijn opgenomen u wilt zorgvuldig beoordelen. Net als de orders in de Clixsense- en iDressup-zaken die in april zijn aangekondigd, vereist de voorgestelde order in deze zaak dat een senior DealerBuilt-functionaris de FTC jaarlijkse certificeringen van naleving verstrekt. Het bevel vereist ook dat DealerBuilt specifieke, afdwingbare waarborgen implementeert die de problemen aanpakken die in de klacht worden genoemd – bijvoorbeeld door van het bedrijf te eisen dat het jaarlijks personeelstrainingen geeft, zijn systemen monitort op gegevensbeveiligingsincidenten, toegangscontroles implementeert en apparaten op zijn netwerk inventariseert. . Bovendien brengt het voorgestelde besluit aanzienlijke wijzigingen aan om de aansprakelijkheid van de externe beoordelaar die verantwoordelijk is voor het beoordelen van het gegevensbeveiligingsprogramma van DealerBuilt verder te verbeteren. Bovendien geeft het bevel de FTC meer toegang tot documenten en ander materiaal waarop de beoordelaar zijn of haar conclusies baseert.

Waarom de bijgewerkte schikkingsvoorwaarden? De meer specifieke orderbepalingen, de verplichte focus van het senior management op veiligheidsvraagstukken, de diepgaande “kijk onder de motorkapEr is evaluatie vereist van beoordelaars, en nieuwe FTC-monitoringinstrumenten zijn allemaal ontworpen om de naleving van bevelen en – indien nodig – handhaving te garanderen.

Zodra de voorgestelde schikking in het Federal Register is gepubliceerd, accepteert de FTC openbare commentaren gedurende 30 dagen. Wat kunnen andere bedrijven uit de zaak halen?

Train en begeleid uw medewerkers zodat ze veiligheid centraal stellen. Iemand aanwijzen die verantwoordelijk is voor de beveiliging van uw bedrijf is een begin, maar dat betekent niet dat u vervolgens kunt doen alsof er geen kwetsbaarheden bestaan. Bedrijven die omgaan met gevoelige persoonlijke informatie van consumenten hebben de verantwoordelijkheid om altijd rekening te houden met de beveiliging. Geef personeelstrainingen die passen bij de aard van uw bedrijf en update deze om de huidige risico’s en bedreigingen weer te geven. Zorg er bovendien voor dat iemand toezicht houdt op de toezichthouders wier beslissingen een grote impact hebben op de veiligheid binnen uw bedrijf.

Wees voorzichtig bij het installeren van apparaten met netwerktoegang. Alsof je een vinger in een stopcontact steekt en iets toevoegt bepaalde apparaten aan uw systeem loopt het risico een aanzienlijke schok toe te brengen. Denk goed na over de gevolgen voor de veiligheid en zorg ervoor dat u dat doet elk apparaat is correct geïnstalleerd.

De GLB-dekking is breed. De uitdrukking ‘financiële instelling’ roept misschien beelden op van bankboekjes, bankbedienden en pennen die aan tafels zijn vastgeketend, maar dat is niet hoe de Gramm-Leach-Bliley-regels de term definiëren. Bedenk of uw bedrijf een financiële instelling die onderworpen is aan de GLB Safeguards Rule.

Als uw bedrijf software of providers van derden gebruikt, bouw dan beveiliging in uw contracten. Zelfs als het gedrag van een ander bedrijf betrokken is bij een inbreuk, jouw De informatie van klanten kan in gevaar komen en ze willen weten wat Jij deed om hen te beschermen. Zoals de publicatie van de FTC Begin met beveiliging raadt aan om bij het toevertrouwen van gegevens aan externe dienstverleners uw veiligheidsverwachtingen duidelijk te maken, in de gaten te houden wat zij namens u doen en websites te volgen die over bekende kwetsbaarheden rapporteren.

Dienstverleners zijn verantwoordelijk voor de bescherming van de persoonlijke gegevens die zij verzamelen en opslaan. Zelfs als uw activiteiten achter de schermen plaatsvinden, kunt u nog steeds aansprakelijk zijn voor overtredingen van de wet. Als u namens andere bedrijven gevoelige consumentengegevens verwerkt, moet beveiliging voorop staan.