Losowi Equifaxu można było w pełni zapobiec. Dowiedz się, jak nie popełniać kosztownych błędów

24-12-2018, 12:17

Komisja US House opublikowała raport, w którym stwierdzono, że mającemu miejsce w 2017 r. naruszeniu bezpieczeństwa danych agencji Equifax „można było całkowicie zapobiec”. Raport zawiera wiele ważnych wniosków, w tym zalecenia dla sektora biznesowego, mające zapobiec podobnym incydentom w przyszłości.

14 września 2017 r. Komisja rozpoczęła badanie naruszenia danych Equifax, które dotknęło 148 milionów klientów, w tym również w Europie. W ciągu 14 miesięcy Komisja ustaliła, że – między innymi – Equifax nie zdefiniowała wyraźnego zakresu kompetencji i odpowiedzialności za bezpieczeństwo gromadzonych danych, korzysta z przestarzałych systemów i w przypadku naruszenia danych nie jest przygotowana do udzielenia wsparcia klientom. Jednak co najważniejsze: Komisja uznała, że incydentu można było łatwo uniknąć. Jak niektórzy z nas pamiętają, Equifax nie zdołała usunąć znanych luk w szkielecie aplikacji webowej Apache Struts, co pozwoliło cyberprzestępcom uzyskać dostęp do jej systemów.

Kluczowe wnioski z raportu komisji

  • Całkowicie do uniknięcia. Equifax nie zdołała w pełni docenić i zminimalizować ryzyka związanego z cyberbezpieczeństwem. Gdyby firma podjęła działania mające na celu zaradzenie możliwym do zaobserwowania problemom związanym z bezpieczeństwem, można by było zapobiec naruszeniu danych.
  • Brak odpowiedzialności i struktura zarządzania. Equifax nie udało się wdrożyć wyraźnego podziału uprawnień w ramach swojej wewnętrznej struktury zarządzania IT. Było to przyczyną pojawienia się – w realizowanej polityce IT – martwej strefy pomiędzy sferą rozwojową a operacyjną. W konsekwencji luka ta ograniczyła zdolność firmy do kompleksowego i terminowego wdrażania inicjatyw bezpieczeństwa.
  • Złożone i przestarzałe systemy informatyczne. Strategia agresywnego rozwoju połączona z nieustanną akumulacją danych doprowadziła do powstania nadmiernie złożonego środowiska IT. Złożoność w parze z archaiczną naturą doraźnie rozwijanych systemów sprawiły, że zapewnienie bezpieczeństwa IT stało się szczególnie trudne.
  • Brak odpowiedzialnego utrzymania standardów bezpieczeństwa. Equifax dopuściła do wygaśnięcia przeszło 300 certyfikatów bezpieczeństwa, w tym 79 certyfikatów dotyczących monitorowania obszarów o znaczeniu krytycznym. Nieodnowienie wygasłego certyfikatu cyfrowego – przez 19 miesięcy! – doprowadziło do sytuacji, w której Equifax nie mogła podczas cyberataku zauważyć infiltracji danych.
  • Brak gotowości do wsparcia poszkodowanych klientów. Po podaniu przez Equifax do publicznej wiadomości informacji o naruszeniu bezpieczeństwa danych, agencja nie była przygotowana do zidentyfikowania poszkodowanych klientów, zaalarmowania ich i udzielenia pomocy. Alarmowe kanały łączności telefonicznej i online zostały momentalnie przeciążone, i poszkodowani klienci nie mieli dostępu do informacji niezbędnych dla ochrony ich tożsamości.

Komisja twierdzi, że w przypadku Equifax mamy do czynienia z „podwyższoną odpowiedzialnością” za ochronę danych osobowych klientów. Podkreśla jednak, że rząd również powinien być bardziej zaangażowany. Zaleca organizacjom wzmocnienie nadzoru oraz zwiększenie odpowiedzialności i przejrzystości w zakresie operacyjnym i infrastrukturalnym, a także modernizację procedur bezpieczeństwa

Źródło: BitDefender


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Sierpień 2020»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930
31