Franse klassieker “The Wages of Fear” – opnieuw gemaakt in 1977 als “The Sorcerer” door de Amerikaanse regisseur William Friedkin – is een spannende thriller over een stoer team dat een lading vluchtige nitroglycerine naar een afgelegen locatie in Zuid-Amerika vervoert. Onderweg komen ze gevaren tegen: touwbruggen die aan een draad over overstromende rivieren hangen, rotsblokken die kronkelende bergpaden blokkeren, en stukken weg die zo vol gaten zitten dat ze ‘wasborden’ worden genoemd.
Het verband met de benadering van gegevensbeveiliging door uw bedrijf lijkt misschien niet voor de hand liggend, maar als u gevoelige persoonlijke informatie op uw netwerk of in uw bestanden hebt staan, is er een analogie waar u uit kunt putten. Net zoals uw rijgedrag zal veranderen als u met een koffer vol nitro achter het stuur kruipt, moet u ook de praktijken van uw bedrijf aanpassen, rekening houdend met de gevoeligheid van de informatie waarover u beschikt.
Dat is een van de principes die in de FTC worden geïllustreerd residentie met Ceridiaan Bedrijf. Ceridiaan biedt loonverwerking en andere HR-diensten aan zakelijke klanten. Eén product, elektriciteit betalingenis een webgebaseerd systeem dat kleine bedrijven kunnen gebruiken om werknemersgegevens te verzamelen en op te slaan, bijvoorbeeld namen, adressen, e-mailadressen, telefoonnummers, burgerservicenummers, geboortedata en bankrekeningnummers voor directe storting, om hun loonverwerking te automatiseren.
Natuurlijk, Ceridiaan wees je bewust van de gevoeligheid van de betrokken gegevens. Volgens het contract zelf: “Bij het beheren van de gezondheids- en loongegevens van werknemers is veiligheid van het grootste belang Ceridiaan. Ons uitgebreide beveiligingsprogramma is ontworpen in overeenstemming met de normen uit de ISO 27000-serie, best practices uit de sector en federale, staats- en lokale wettelijke vereisten.”
Maar zoals de FTC rechtszaak beschuldigen, Ceridiaan houdt zich bezig met een aantal praktijken die, tezamen genomen, er niet in slagen een redelijke en passende beveiliging te bieden voor de verzamelde en bewaarde persoonsgegevens. Concreet heeft de FTC het bedrijf belast met:
- persoonlijke informatie opslaan in gemakkelijk leesbare tekst;
- creëert onnodige risico’s door het voor onbepaalde tijd op zijn netwerk op te slaan zonder dat dit zakelijk nodig is;
- de kwetsbaarheid van de webapplicatie en het netwerk voor algemeen bekende of redelijkerwijs voorzienbare risico’s, zoals SQL-injectieaanvallen, niet adequaat heeft beoordeeld;
- het niet implementeren van beschikbare gratis of goedkope verdedigingsmechanismen; En
- er niet in slaagt redelijke maatregelen te treffen om ongeoorloofde toegang te detecteren en te voorkomen.
Als gevolg hiervan, aldus de FTC, hebben hackers misbruik gemaakt van de mislukking door SQL-injectieaanvallen uit te voeren elektriciteit betalingen sites en webapplicaties, waarbij gebruik wordt gemaakt van de persoonsgegevens van bijna 28.000 medewerkers Ceridian’s kleine zakelijke klanten, inclusief in sommige gevallen hun burgerservicenummer, bankrekeninggegevens en geboortedata. Om deze zaak op te lossen, Ceridiaan eigen overeengekomen om een alomvattend informatiebeveiligingsprogramma te implementeren, inclusief onafhankelijke beveiligingsaudits van derden om de twee jaar gedurende de komende twintig jaar.
Wat kunnen slimme marketeers meenemen uit de handhavingsmaatregelen van de FTC?
Blijf sociaal veilig. Natuurlijk willen bedrijven voorzichtig zijn met alle gegevens die ze hebben, maar sommige informatie – burgerservicenummers bijvoorbeeld – heeft voorrang als het om bescherming gaat. Het ontwarren van de eieren wanneer ID-dieven bijvoorbeeld een creditcardnummer in handen krijgen, kan al lastig genoeg zijn: stapels papierwerk waarin ongeautoriseerde afschrijvingen worden betwist en uren aan de telefoon om rekeningen op te ruimen. Maar als het om een burgerservicenummer gaat, kunnen de gevolgen een leven lang aanhouden. Oké, misschien SSN geen onstabiele nitroglycerine op een afgelegen bergweg, maar vertel dat niet aan mensen wier leven drastisch is veranderd door identiteitsdiefstal waarbij hun burgerservicenummer is betrokken.
Snoei laaghangend fruit. Hackers zullen altijd bij ons zijn. Het is dus onze taak om hun werk zo moeilijk mogelijk te maken. Veel tegenmaatregelen die uw netwerkbeveiliging kunnen verbeteren, zijn tegen lage of geen kosten beschikbaar. Eén eenvoudige stap: neem contact op met uw softwareleverancier voor patches om nieuwe bedreigingen aan te pakken. Maak terugkerende afspraken in uw agenda en vraag hen om updates. Bovendien zullen veel programma’s doorgaan en urgente beveiligingspatches en andere oplossingen installeren als uw IT-personeel de functie ‘automatische updates’ heeft ingeschakeld.
Natuurlijk veiliger. Als onderdeel van het Department of Homeland Security biedt US-CERT (United States Computer Emergency Readiness Team) respons- en verdedigingsondersteuning tegen cyberaanvallen en deelt informatie met de overheid en de industrie. De US-CERT Reading Room biedt veel gratis bronnen voor bedrijven van elke omvang. Niet het technische type? US-CERT heeft de oplossing voor u, waarbij materialen eenvoudig worden onderverdeeld in niet-technische categorieën voor drukke leidinggevenden en technische gegevens voor IT-professionals. Hun site biedt bijvoorbeeld stapsgewijs advies voor het beschermen van uw netwerk tegen SQL-injectieaanvallen en andere veel voorkomende bedreigingen.
Volgende: Meer FTC-handhaving op het gebied van gegevensbeveiliging
