Patch uw software. Segmenteer uw netwerk. Houd toezicht op indringers. Volgens technologie-experts is dit de basis van beveiliging voor bedrijven van elke omvang. Maar als je industriegigant Equifax bent – een bedrijf dat grote hoeveelheden zeer vertrouwelijke informatie over meer dan 200 miljoen Amerikanen bewaart – is het bijna ondenkbaar dat je niet over die basisbescherming beschikt. De schikking van de FTC, CFPB en State AG bedraagt minstens $575 miljoen illustreert de schade voor consumenten als bedrijven voorzienbare (en vermijdbare) bedreigingen voor gevoelige gegevens negeren. Lees verder voor beveiligingstips voor uw bedrijf en wat consumenten kunnen doen om compensatie te krijgen voor hun verliezen en zich aan te melden voor gratis kredietmonitoring.
Het datalek bij Equifax heeft de krantenkoppen gehaald, maar wat gebeurt er achter de schermen? Volgens klachtin maart 2017 waarschuwde US-CERT – de cyberexperts van Homeland Security – Equifax en andere bedrijven voor kritieke beveiligingskwetsbaarheden in open source software die wordt gebruikt om Java-webapplicaties te bouwen. De waarschuwing waarschuwt iedereen die een kwetsbare versie van de software gebruikt om deze onmiddellijk bij te werken naar een gratis gepatchte versie. Het duurde niet lang voordat de pers berichtte dat hackers de kwetsbaarheid waren gaan misbruiken.
Het beveiligingsteam van Equifax ontving op 9 maart 2017 een US-CERT-waarschuwing en stuurde deze naar meer dan 400 medewerkers met instructies dat personeel dat verantwoordelijk is voor de getroffen software deze binnen 48 uur moest patchen, zoals vereist door het Patch Management Policy van het bedrijf. Binnen een week voerde Equifax een scan uit om te zoeken naar kwetsbare vormen van software die nog op het netwerk aanwezig waren. De scans van Equifax waren echter niet succesvol, wat uiteindelijk schadelijk bleek voor de consument. Volgens de klacht gebruikte het bedrijf een onjuist geconfigureerde geautomatiseerde scanner die er niet in slaagde te detecteren dat de kwetsbare software nog leefde en naar behoren functioneerde in delen van het Automated Consumer Interview System (ACIS) van het bedrijf. De rechtszaak beweert dat Equifax de ‘open sesam’-kwetsbaarheid in zijn systemen maandenlang niet heeft gedetecteerd.
Hoe gevoelig zijn de gegevens die op het ACIS-portaal zijn opgeslagen? Als het al een tijdje geleden is dat je een live kreet van ‘Home Alone’ hebt laten horen, is dit misschien een goed moment, want dit is de portal waar Equifax informatie verzamelt over consumentengeschillen, inclusief documentatie die door consumenten is geüpload. Daarnaast gebruikt Equifax het platform voor het bevriezen van consumentenkredieten, fraudewaarschuwingen en zelfs gratis verzoeken om jaarlijkse kredietrapporten. Zo hebben miljoenen consumenten elk jaar interactie met het ACIS-portaal. Dat klacht we gaan dieper in op de details, maar het volstaat te zeggen dat voor informatiecriminelen die op zoek zijn naar burgerservicenummers, geboortedata, creditcardnummers, vervaldata en dergelijke, de gegevens in ACIS primoklasse A-materiaal zijn.
Wat de consumenten nog erger maakt, is het feit dat ACIS oorspronkelijk in de jaren tachtig werd opgericht en dat zelfs interne documenten van Equifax het ‘oude technologie’ en ‘verouderd’ noemen. Bovendien stelt de klacht dat toen Equifax de e-mail naar zijn ruim 400 werknemers stuurde waarin hij hen waarschuwde voor de noodzaak van de patch, het bedrijf de verantwoordelijke medewerker aan de ACIS-kant niet op de hoogte bracht van de kwetsbaarheid.
Equifax slaagde er ruim vier maanden niet in de ongepatchte kwetsbaarheid te ontdekken. Eind juli 2017 merkte het beveiligingsteam van het bedrijf verdacht verkeer op het ACIS-portaal op. Ze blokkeerden het, maar identificeerden de volgende dag extra twijfelachtig verkeer. Op dat moment haalde Equifax het platform offline en huurde een forensisch adviseur in die de hacker identificeerdeS heeft misbruik gemaakt van de kwetsbaarheid. Maar het werd nog erger. Consultants ontdekten dat aanvallers, eenmaal binnen het ACIS-systeem, toegang konden krijgen tot andere delen van het netwerk en tientallen niet-gerelateerde databases konden plunderen die ook zeer geheime informatie bevatten. Bovendien hadden ze toegang tot opslagruimte die was verbonden met een ACIS-database die beheerdersreferenties bevatte die waren opgeslagen in platte tekst, die ze gebruikten om gevoeligere gegevens op te halen. Volgens de forensische analyse van Equifax konden aanvallers (onder andere) ongeveer 147 miljoen namen en geboortedata, 145 miljoen burgerservicenummers en 209.000 creditcard- en debetkaartnummers en vervaldata stelen.
Dat klacht beweert dat een aantal acties van Equifax – en het nalaten om actie te ondernemen – resulteerden in schendingen van de FTC Act en de Gramm-Leach-Bliley Safeguards Act, die financiële instellingen verplichten uitgebreide informatiebeveiligingsprogramma’s te implementeren en te onderhouden. Bijvoorbeeld:
- Equifax controleerde niet of werknemers het patchingproces volgden;
- Equifax kon niet detecteren dat er een patch nodig was, omdat het bedrijf een geautomatiseerde scan gebruikte die niet goed was geconfigureerd om alle plaatsen te controleren waar de kwetsbare software aanwezig zou kunnen zijn;
- Equifax slaagde er niet in zijn netwerk te segmenteren om te beperken hoeveel gevoelige gegevens aanvallers konden stelen;
- Equifax slaat beheerdersreferenties en wachtwoorden op in onbeveiligde tekstbestanden;
- Equifax slaagde er niet in een beveiligingscertificaat te vernieuwen dat tien maanden eerder was verlopen; En
- Equifax detecteert geen inbraken op “verouderde” systemen zoals ACIS.
In de klacht worden deze factoren genoemd als factoren die hebben bijgedragen aan de massale inbreuk op de persoonlijke informatie van consumenten.
Dat residentie vereist dat Equifax minstens 300 miljoen dollar betaalt aan een fonds dat kredietbewakingsdiensten zal leveren aan getroffen consumenten, mensen zal compenseren die krediet- of identiteitsbewakingsdiensten van Equifax hebben gekocht, en consumenten zal vergoeden voor de kosten die zijn gemaakt als gevolg van het datalek van 2017. Equifax zal het fonds met maximaal $125 miljoen verhogen als de initiële betaling niet voldoende is om de verliezen van consumenten te compenseren. Equifax zal ook $175 miljoen betalen aan 48 staten, het District of Columbia en Puerto Rico, en een civiele boete van $100 miljoen aan het CFPB. (De FTC heeft niet de wettelijke bevoegdheid om in dit soort gevallen civielrechtelijke sancties op te leggen.)
Financieel herstel is slechts een deel van de oplossing. Volgens het bevel moet Equifax uitgebreide programmavereisten voor informatiebeveiliging implementerenng – onder andere – dat:
- Equifax moet meewerkenjaarlijkse beoordelingen uitvoeren van interne en externe veiligheidsrisico’s, waarborgen implementeren om deze aan te pakken, en de effectiviteit van die waarborgen testen;
- Equifax moet aervoor zorgen dat dienstverleners die toegang hebben tot persoonlijke informatie die door Equifax is opgeslagen, ook passende beveiligingsprogramma’s implementeren; En
- Equifax moet gen een jaarlijkse certificering van de Raad van Bestuur van Equifax waarin staat: “Ja, ik verklaar dat het bedrijf voldoet aan de vereisten van de order voor een passend informatiebeveiligingsprogramma.”
De Equifax-schikking is een onderzoek naar hoe fundamentele veiligheidsfouten verrassende gevolgen kunnen hebben. Hier zijn enkele tips die andere bedrijven uit deze zaak kunnen halen – en we hoefden niet ver te zoeken naar advies. Alle citaten komen uit de FTC-brochure, Begin met beveiliging.
“Software van derden bijwerken en patchen.” Bedrijven moeten de beveiligingswaarschuwingen van US-CERT zeer serieus nemen. Het 48-uurs patchbeheerbeleid van Equifax ziet er op papier misschien goed uit, maar kan op papier geen kritieke softwarekwetsbaarheden verhelpen. Uiteraard moet u uw IT-team op de hoogte stellen om de juiste patches en fixes toe te passen. Maar u heeft ook een gordel- en riemsysteem nodig om ervoor te zorgen dat uw bedrijf effectief doorgaat.
“Zorg voor een juiste configuratie.” Er is niets mis met het gebruik van geautomatiseerde kwetsbaarheidsscans, maar als het niet is ingesteld om te weten waar je moet kijken, is het slechts een verzameling nullen en enen. De klacht beweert dat Equifax het probleem heeft verergerd door geen nauwkeurige inventaris bij te houden van welke systemen welke software draaiden – een fundamentele praktijk die het gemakkelijker zou hebben gemaakt om kwetsbaarheden in het ACIS-platform te vinden.
“Bewaak de activiteit op uw netwerk.” Wie gaat erin en wat gaat eruit? Dat is wat effectieve inbraakdetectietools vragen bij het detecteren van ongeautoriseerde activiteiten. Een effectief inbraakdetectiesysteem kan Equifax helpen kwetsbaarheden sneller te detecteren, waardoor het aantal getroffen consumenten kan worden verminderd.
“Segmenteer uw netwerk.” Het idee achter de waterdichte compartimenten van een schip is dat zelfs als één deel van de constructie schade oploopt, het hele schip niet zal zinken. Het segmenteren van uw netwerk – het opslaan van gevoelige gegevens op afzonderlijke beveiligde plaatsen op uw systeem – kan een soortgelijk verzachtend effect hebben. Zelfs als een aanvaller een deel van uw systeem binnensluipt, kan een goed gesegmenteerd netwerk helpen voorkomen dat gegevensfouten uitmonden in regelrechte OMG.
De FTC heeft meer veiligheidsadvies voor zaken. Bent u een consument die wordt getroffen door de inbreuk op Equifax? Bezoek ftc.gov/equifax (ook verkrijgbaar bij Spaans) voor informatie over hoe u compensatie kunt aanvragen.
