Domino-principe. Rimpeleffect. Het fenomeen vlinder. Pas de door jou gekozen analogie toe om te beschrijven wat er wanneer gebeurt Een software ontwikkelaarNaar verluidt hebben lakse beveiligingspraktijken geleid tot het schenden van vertrouwelijke klantinformatie die in het bezit was van Veel bedrijven die software gebruiken. Als uw bedrijf een serviceprovider is – of als uw bedrijf een externe serviceprovider gebruikt om uw gegevens te helpen beheren – a ingediend FTC-schikking vaardigheidDat is jouw aandacht. Eén belangrijk aspect van de zaak: het voorgestelde besluit omvat nieuwe gegevensbeveiligingsvereisten die de huidige prioriteit van de Commissie weerspiegelen bij het bijwerken van haar gegevensbeveiligingsbesluit.
Veel externe dienstverleners verkopen branchespecifieke software voor gegevensbeheer aan consumentengerichte bedrijven. Een voorbeeld is DealerBuilt, software voor autodealers ontwikkeld door LightYear Dealer Technologies. DealerBuilt is een grote naam in de branche, met enkele van de grootste dealers van het land als klant. Dealers die een licentie voor DealerBuilt-software hebben, verzamelen en bewaren grote hoeveelheden gevoelige financiële, salaris-, boekhoudkundige en andere informatie over consumenten en werknemers. Dealers die de software gebruiken, kunnen DealerBuilt hun gegevens laten hosten of ze kunnen deze op hun eigen servers hosten. Bedrijven die voor de tweede optie kiezen, maken regelmatig een back-up van hun databases op het DealerBuilt-netwerk.
Voordat we de informatie bespreken die onvermijdelijk tot handhavingsmaatregelen leidt, moeten we even stilstaan bij enkele praktijken van DealerBuilt in de loop van de tijd die relevant zijn voor het administratieve voorstel van de FTC. klacht. Volgens de FTC:
- DealerBuilt slaat informatie op in duidelijke tekst, zonder toegangscontroles of authenticatiebescherming zoals wachtwoorden of tokens. De gegevens die tussen de dealer en de DealerBuilt back-updatabase worden verzonden, zijn ook in duidelijke tekst.
- DealerBuilt beschikt niet over een schriftelijk informatiebeveiligingsbeleid.
- DealerBuilt biedt geen redelijke trainingen op het gebied van gegevensbeveiliging aan werknemers of opdrachtnemers.
- DealerBuilt beoordeelt het risico voor gevoelige gegevens op haar netwerk niet door periodieke risicobeoordelingen uit te voeren of kwetsbaarheids- en penetratietesten uit te voeren.
- DealerBuilt maakt geen gebruik van beschikbare beveiligingsmaatregelen om onder meer ongeautoriseerde pogingen om gevoelige informatie over te dragen te monitoren.
- DealerBuilt implementeert geen redelijke controles op de gegevenstoegang – bijvoorbeeld een systeem voor het beperken van inkomende verbindingen met bekende IP-adressen of het vereisen van authenticatie om toegang te krijgen tot back-updatabases.
- DealerBuilt beschikt niet over een redelijk proces voor het selecteren, installeren en beveiligen van apparaten met toegang tot persoonlijke informatie.
Tegen de achtergrond van deze vermeende veiligheidsfouten zou wat er daarna gebeurde geen verrassing moeten zijn. Om de beschikbare back-upopslag te vergroten, hebben medewerkers van DealerBuilt in april 2015 opslagapparaten gekocht en deze op het bedrijfsnetwerk geïnstalleerd. Volgens de FTC heeft het management van DealerBuilt geen stappen ondernomen om ervoor te zorgen dat de apparaten veilig waren geïnstalleerd. Als iemand het zou controleren, zou hij ontdekken dat het apparaat een verbindingspoort open houdt die de overdracht van informatie mogelijk maakt.
Snel vooruit naar eind oktober 2016, toen een hacker deze open poorten “omzeilde” om ongeoorloofde toegang te krijgen tot de back-updatabase van DealerBuilt, inclusief de niet-gecodeerde persoonlijke informatie van meer dan 12 miljoen consumenten die zijn opgeslagen door de 130 klant-dealers van het bedrijf. Hackers vielen het systeem meerdere keren aan en downloadden de persoonlijke gegevens van 69.283 consumenten en de volledige back-upmappen van vijf dealers. En dat is nog niet alles, want gedurende een vrij lange periode werden de onveilige instellingen van DealerBuilt geïndexeerd op openbare websites die hackers gebruikten om onveilige aangesloten apparaten te vinden. Wat is er uiteindelijk gestolen? Deze omvatten burgerservicenummers, rijbewijsnummers en geboortedata van consumenten, evenals salaris- en financiële informatie over werknemers van dealerbedrijven – een vijfsterrenfavoriet voor identiteitsdieven.
DealerBuilt werd zich op 7 november 2016 bewust van de inbreuk, toen een dealer belde met de vraag waarom klantgegevens openbaar toegankelijk waren op internet. Volgens de FTC werd het bedrijf pas bewust van open poorten op zijn opslagapparaten toen een verslaggever DealerBuilt op de hoogte bracht van het beveiligingsprobleem.
Tel 1 van klacht zou FTC-kijkers bekend moeten voorkomen. De FTC beweerde dat het onvermogen van het bedrijf om werknemers in dienst te nemen gerechtvaardigd was beveiliging Dergelijke acties vormen oneerlijke praktijken en zijn in strijd met de FTC Act. Punt 2 verdient een speciale vermelding omdat DealerBuilt voldoet aan de definitie van “financiële instelling” onder de Gramm-Leach-Bliley Act. Dit brengt naleving met zich mee GLB-beschermingsregelswaarin de FTC beweerde dat DealerBuilt werd geschonden door – onder andere – het onvermogen om een schriftelijk informatiebeveiligingsprogramma te ontwikkelen, implementeren en onderhouden; het onvermogen om redelijkerwijs te voorziene risico’s voor de veiligheid, vertrouwelijkheid en integriteit van klantinformatie te identificeren; en het onvermogen om fundamentele waarborgen te implementeren en de doeltreffendheid ervan routinematig te testen.
Om deze zaak op te lossen, heeft het bedrijf ingestemd met een voorgestelde volgorde het bevat belangrijke nieuwe bepalingen U wilt het zorgvuldig bekijken. Net als de orders in de Clixsense- en iDressup-zaken die in april werden aangekondigd, zou de voorgestelde order in deze zaak vereisen dat senior DealerBuilt-functionarissen jaarlijkse nalevingscertificeringen aan de FTC verstrekken. Het bevel vereist ook dat DealerBuilt specifieke en afdwingbare veiligheidsmaatregelen implementeert om de problemen aan te pakken die in de klacht worden genoemd. Zo moet het bedrijf bijvoorbeeld jaarlijkse personeelstrainingen geven, zijn systemen monitoren op gegevensbeveiligingsincidenten, toegangscontroles implementeren en apparaten op zijn netwerk inventariseren. Bovendien brengt het voorgestelde besluit aanzienlijke wijzigingen aan om de aansprakelijkheid van externe beoordelaars die verantwoordelijk zijn voor het beoordelen van het gegevensbeveiligingsprogramma van DealerBuilt verder te vergroten. Bovendien geeft het bevel de FTC betere toegang tot documenten en ander materiaal waarop de beoordelaars hun conclusies baseerden.
Waarom zijn de schikkingsvoorwaarden bijgewerkt? Hoe specifieker de voorwaarden van de order, des te diepgaander de focus op veiligheidskwesties wordt vereist door het senior management.”kijk onder de motorkapEr zijn evaluaties vereist door beoordelaars, en de nieuwe FTC-monitoringinstrumenten zijn allemaal ontworpen om de naleving van bevelen en – indien nodig – handhaving te garanderen.
Zodra de voorgestelde schikking in het Federal Register is gepubliceerd, accepteert de FTC openbare commentaren gedurende 30 dagen. Wat kunnen andere bedrijven uit deze zaak leren?
Train en begeleid uw medewerkers zodat ze zich kunnen concentreren op beveiliging. Het aanwijzen van iemand die verantwoordelijk is voor de beveiliging van uw bedrijf is een begin, maar dat betekent niet dat u vervolgens kunt doen alsof er geen kwetsbaarheden bestaan. Bedrijven die gevoelige persoonlijke informatie van consumenten verwerken, hebben de verantwoordelijkheid om veiligheid holistisch te beschouwen. Geef personeelstrainingen die passen bij de aard van uw bedrijf en update deze om de huidige risico’s en bedreigingen weer te geven. Zorg er bovendien voor dat er iemand toezicht houdt op toezichthouders wiens beslissingen een grote impact hebben op de veiligheid binnen uw bedrijf.
Wees voorzichtig bij het installeren van apparaten met netwerktoegang. Alsof je een vinger in een stopcontact steekt, iets toevoegt specifiek apparaat voor uw systeem riskeert een grote schok. Denk goed na over de gevolgen voor de veiligheid en wees zeker elk apparaat correct geïnstalleerd.
De GLB-dekking is breed. De uitdrukking ‘financiële instelling’ roept misschien beelden op van bankboekjes, stemopnemers en pennen die aan bureaus zijn vastgeketend, maar de Gramm-Leach-Bliley-regel definieert de term niet. Overweeg of uw bedrijf een financiële instellingen die onderworpen zijn aan de GLB Protection Regulations.
Als uw bedrijf software of providers van derden gebruikt, neem dan beveiliging op in uw contract. Zelfs als het gedrag van een ander bedrijf betrokken is bij een overtreding, de jouwe Klantgegevens kunnen gevaar lopen en zij willen weten wat de risico’s zijn Jij doen om ze te beschermen. Als FTC-publicatie Begin met beveiliging raadt aan om bij het toevertrouwen van gegevens aan externe dienstverleners uw beveiligingsverwachtingen uit te leggen, te controleren wat zij namens u doen en websites te volgen die bekende kwetsbaarheden melden.
Dienstverleners zijn verantwoordelijk voor de bescherming van de persoonlijke gegevens die zij verzamelen en opslaan. Zelfs als uw activiteiten achter de schermen plaatsvinden, kunt u nog steeds aansprakelijk zijn voor overtredingen van de wet. Als u namens een ander bedrijf gevoelige consumentengegevens verwerkt, moet beveiliging een topprioriteit zijn.
