Ondernemers dragen veel hoeden. Naast het op de markt brengen van producten zijn ze verantwoordelijk voor operationele functies zoals inventarisatie, bestellingen en bescherming van klantgegevens. In plaats van al het modevak te beheren, wenden sommige bedrijven zich tot externe dienstverleners om de zaken achter de schermen te regelen. Maar welke stappen ondernemen deze bedrijven om de vertrouwelijke consumenteninformatie waarover zij beschikken te beschermen? Dat was een van de kwesties die door De voorgestelde schikking van de FTC met het in Utah gevestigde InfoTrax Systems.
InfoTrax levert besturingssystemen en online distributeurstools voor de directe verkoopsector. Multi-level marketeers sluiten een contract met InfoTrax om hun webportals te beheren. Via het portaal registreren mensen zich bij MLM als distributeur, registreren ze nieuwe distributeurs en plaatsen ze bestellingen voor zichzelf en consumenten die bij hen kopen.
Bij dergelijke transacties zijn grote hoeveelheden gevoelige gegevens betrokken: volledige namen, creditcards en betaalkaarten met vervaldatums en driecijferige CVV-nummers, bankrekeninggegevens, burgerservicenummers, gebruikers-ID’s en wachtwoorden, enz. Laten we duidelijk zijn: we hebben het niet over een naam hier of een rekeningnummer daar. Vanaf september 2016 bezat InfoTrax de persoonlijke gegevens van ongeveer 11,8 miljoen consumenten. Maar volgens de klacht was InfoTrax betrokken bij een reeks gegevensfouten die kwetsbaarheden in zijn netwerk veroorzaakten, zwakke punten die ongeoorloofde toegang tot vertrouwelijke consumenteninformatie mogelijk maakten. De FTC beweerde onder meer dat:
- InfoTrax slaagde er niet in adequate codebeoordelingen en penetratietests uit te voeren om cyberrisico’s te beoordelen;
- InfoTrax heeft geen voorzorgsmaatregelen genomen om kwaadaardige bestandsuploads te detecteren;
- InfoTrax slaagde er niet in om op adequate wijze te beperken waar derden binnen zijn netwerk onbekende bestanden konden uploaden;
- InfoTrax slaagde er niet in zijn netwerk adequaat te segmenteren om ervoor te zorgen dat distributeurs van de ene klant geen toegang hadden tot de gegevens van een andere klant;
- InfoTrax slaagde er niet in veiligheidsmaatregelen te implementeren om verdachte activiteiten op te sporen – het bedrijf beschikte bijvoorbeeld niet over een effectief inbraakdetectiesysteem om twijfelachtige vragen op te sporen; maakt geen gebruik van tools voor het monitoren van de bestandsintegriteit om te bepalen wanneer bestanden zijn gewijzigd, en controleert niet routinematig op ongeoorloofde pogingen om gevoelige gegevens van zijn netwerk over te dragen;
- InfoTrax slaat vertrouwelijke informatie op, waaronder burgerservicenummers, creditcard- en debetkaartnummers, gebruikers-ID’s en wachtwoorden in duidelijke, gemakkelijk leesbare tekst; En
- InfoTrax beschikt niet over een systematisch proces voor het verwijderen van persoonlijke gegevens van consumenten en heeft niet langer een zakelijke noodzaak om op zijn netwerk te blijven.
Wat er als gevolg van die mislukking gebeurde, hoeft geen verrassing te zijn. Volgens de klacht maakte een indringer in 2014 misbruik van beveiligingskwetsbaarheden in de servers en klantwebsites van InfoTrax om kwaadaardige code te uploaden die de indringer op afstand toegang gaf tot gegevens op het netwerk van InfoTrax – iets wat hij in een periode van twee jaar zeventien keer deed, allemaal zonder dat InfoTrax het probleem ontdekte. Je zult zeker willen lezen klacht voor details, maar de FTC beschuldigde de indringers ervan verschillende middelen te gebruiken om zeer gevoelige financiële informatie over InfoTrax-klanten en eindgebruikers te verkrijgen.
Eindelijk, op 7 maart 2016, bijna twee jaar nadat de gegevensdiefstal begon, kreeg InfoTrax een vermoeden van een of andere inbreuk. De aanwijzing kwam in de vorm van een waarschuwing dat een van zijn servers de maximale capaciteit had bereikt, een waarschuwing die het bedrijf alleen ontving omdat de indringer een gegevensarchief had aangemaakt dat zo groot was dat de schijf bijna geen ruimte meer had. De FTC zei dat het bedrijf pas toen stappen ondernam om de indringers uit zijn netwerk te verwijderen. De indringer bleef echter wekenlang gegevens van de servers van InfoTrax extraheren.
De klacht beweert dat het onvermogen van InfoTrax om redelijke gegevensbeveiliging te implementeren om persoonlijke informatie te beschermen een oneerlijke praktijk is en in strijd is met de FTC Act. Dat voorgestelde volgorde vereiste dat InfoTrax en de toenmalige CEO Mark Rawlins een uitgebreid informatiebeveiligingsprogramma implementeerden, elke twee jaar beoordelingen uitvoerden en jaarlijks een nalevingscertificering uitvoerden. Bovendien implementeert de schikking ook specifieke waarborgen om de in de klacht genoemde beveiligingsfouten aan te pakken. De FTC accepteert publieke opmerkingen over de voorgestelde schikking.
Welke inzichten kunnen andere bedrijven uit deze case halen?
Beschikbare beveiligingstools kunnen risico’s verminderen. De FTC beweerde dat InfoTrax de risico’s voor gevoelige gegevens zou kunnen verminderen door beschikbare en kosteneffectieve beschermingsmaatregelen te implementeren. Beveiligingsbewuste bedrijven gebruiken bijvoorbeeld tools om ongeoorloofde in- en uitgangen op hun netwerken te controleren. Dan is er nog de invoervalidatie, die kan bepalen of gegevens van mogelijk niet-vertrouwde sites correct zijn geconfigureerd – een voorzorgsmaatregel die het risico kan verkleinen dat kwaadaardige code bijvoorbeeld een database op uw netwerk infiltreert. Bovendien kunnen tools voor bestandsintegriteit mogelijk vaststellen of een indringer informatie heeft gewijzigd.
Inventariseer de gegevens die u heeft en voer deze veilig af als opslag niet meer nodig is. Volgens de FTC was een van de door de indringers gecompromitteerde databases een oud bestand waarvan InfoTrax niet wist dat het nog op zijn servers stond. De aantijgingen in de klacht tonen aan hoe belangrijk het is om te weten wat je hebt en waar je het hebt. Het illustreert ook de wijsheid van het veilig verwijderen van onnodige informatie. Wat je niet meer hebt, hoef je niet te beschermen.
Houd rekening met de impact van beveiligingsfouten op klanten en klanten. Identiteitsdiefstal is altijd een risico wanneer persoonlijke informatie wordt geschonden, maar de klacht voegt in dit geval een menselijk perspectief toe op de gevolgen van zwakke gegevensbeveiliging. Toen een van de klanten van InfoTrax bijvoorbeeld een callcenter inhuurde om te helpen bij het reageren op datalekken, meldden consumenten en distributeurs meer dan 280 gevallen van vermoedelijke fraude, waaronder 238 klachten over ongeoorloofde creditcardafschrijvingen, 34 klachten over nieuw geopende kredietlijnen, 15 klachten over belastingfraude en 1 klacht over misbruik van informatie voor arbeidsdoeleinden. Voor externe dienstverleners met gevoelige consumentengegevens moet ongeëvenaarde beveiliging een topprioriteit zijn.
