14 września 2017 r. Komisja rozpoczęła badanie naruszenia danych Equifax, które dotknęło 148 milionów klientów, w tym również w Europie. W ciągu 14 miesięcy Komisja ustaliła, że – między innymi – Equifax nie zdefiniowała wyraźnego zakresu kompetencji i odpowiedzialności za bezpieczeństwo gromadzonych danych, korzysta z przestarzałych systemów i w przypadku naruszenia danych nie jest przygotowana do udzielenia wsparcia klientom. Jednak co najważniejsze: Komisja uznała, że incydentu można było łatwo uniknąć. Jak niektórzy z nas pamiętają, Equifax nie zdołała usunąć znanych luk w szkielecie aplikacji webowej Apache Struts, co pozwoliło cyberprzestępcom uzyskać dostęp do jej systemów.

Kluczowe wnioski z raportu komisji

• Całkowicie do uniknięcia. Equifax nie zdołała w pełni docenić i zminimalizować ryzyka związanego z cyberbezpieczeństwem. Gdyby firma podjęła działania mające na celu zaradzenie możliwym do zaobserwowania problemom związanym z bezpieczeństwem, można by było zapobiec naruszeniu danych.
• Brak odpowiedzialności i struktura zarządzania. Equifax nie udało się wdrożyć wyraźnego podziału uprawnień w ramach swojej wewnętrznej struktury zarządzania IT. Było to przyczyną pojawienia się – w realizowanej polityce IT – martwej strefy pomiędzy sferą rozwojową a operacyjną. W konsekwencji luka ta ograniczyła zdolność firmy do kompleksowego i terminowego wdrażania inicjatyw bezpieczeństwa.
• Złożone i przestarzałe systemy informatyczne. Strategia agresywnego rozwoju połączona z nieustanną akumulacją danych doprowadziła do powstania nadmiernie złożonego środowiska IT. Złożoność w parze z archaiczną naturą doraźnie rozwijanych systemów sprawiły, że zapewnienie bezpieczeństwa IT stało się szczególnie trudne.
• Brak odpowiedzialnego utrzymania standardów bezpieczeństwa. Equifax dopuściła do wygaśnięcia przeszło 300 certyfikatów bezpieczeństwa, w tym 79 certyfikatów dotyczących monitorowania obszarów o znaczeniu krytycznym. Nieodnowienie wygasłego certyfikatu cyfrowego – przez 19 miesięcy! – doprowadziło do sytuacji, w której Equifax nie mogła podczas cyberataku zauważyć infiltracji danych.
• Brak gotowości do wsparcia poszkodowanych klientów. Po podaniu przez Equifax do publicznej wiadomości informacji o naruszeniu bezpieczeństwa danych, agencja nie była przygotowana do zidentyfikowania poszkodowanych klientów, zaalarmowania ich i udzielenia pomocy. Alarmowe kanały łączności telefonicznej i online zostały momentalnie przeciążone, i poszkodowani klienci nie mieli dostępu do informacji niezbędnych dla ochrony ich tożsamości.

Komisja twierdzi, że w przypadku Equifax mamy do czynienia z „podwyższoną odpowiedzialnością” za ochronę danych osobowych klientów. Podkreśla jednak, że rząd również powinien być bardziej zaangażowany. Zaleca organizacjom wzmocnienie nadzoru oraz zwiększenie odpowiedzialności i przejrzystości w zakresie operacyjnym i infrastrukturalnym, a także modernizację procedur bezpieczeństwa

Źródło: BitDefender