Jak uniknąć losu Equifaxu? To nie musiało się wydarzyć

14 września 2017 r. Komisja rozpoczęła badanie naruszenia danych Equifax, które dotknęło 148 milionów klientów, w tym również w Europie.

W ciągu 14 miesięcy Komisja ustaliła, że – między innymi – Equifax nie zdefiniowała wyraźnego zakresu kompetencji i odpowiedzialności za bezpieczeństwo gromadzonych danych, że korzysta z przestarzałych systemów i że w przypadku naruszenia danych nie jest przygotowana do udzielenia wsparcia klientom. Jednak co najważniejsze: Komisja uznała, że incydentu można było łatwo uniknąć. Jak niektórzy z nas pamiętają, Equifax nie zdołała usunąć znanych luk w szkielecie aplikacji webowej Apache Struts, co pozwoliło hakerom uzyskać dostęp do jej systemów. W raporcie czytamy:

Kluczowe wnioski

· Całkowicie do uniknięcia. Equifax nie zdołała w pełni docenić i zminimalizować ryzyka związanego c cyberbezpieczeństwem. Gdyby firma podjęła działania mające na celu zaradzenie możliwym do zaobserwowania problemom związanym z bezpieczeństwem, można by było zapobiec naruszeniu danych.

· Brak odpowiedzialności i struktura zarządzania. Equifax nie udało się wdrożyć wyraźnego podziału uprawnień w ramach swojej wewnętrznej struktury zarządzania IT. Było to przyczyną pojawienia się – w realizowanej polityce IT – martwej strefy między sferą rozwojową a operacyjną. W konsekwencji luka ta ograniczyła zdolność firmy do kompleksowego i terminowego wdrażania inicjatyw bezpieczeństwa.

· Złożone i przestarzałe systemy informatyczne. Strategia agresywnego rozwoju połączona z nieustanną akumulacją danych doprowadziła do powstania nadmiernie złożonego środowiska IT. Złożoność w parze z archaiczną naturą doraźnie rozwijanych systemów sprawiły, że zapewnienie bezpieczeństwa IT stało się szczególnie trudne.

· Brak odpowiedzialnego utrzymania standardów bezpieczeństwa. Equifax dopuściła do wygaśnięcia przeszło 300 certyfikatów bezpieczeństwa, w tym 79 certyfikatów dotyczących monitorowania obszarów o znaczeniu krytycznym. Nieodnowienie wygasłego certyfikatu cyfrowego – przez 19 miesięcy! – doprowadziło do sytuacji, w której Equifax nie mogła podczas cyberataku zauważyć infiltracji danych.

· Brak gotowości do wsparcia poszkodowanych klientów. Po podaniu przez Equifax do publicznej wiadomości informacji o naruszeniu bezpieczeństwa danych, agencja nie była przygotowana do zidentyfikowania poszkodowanych klientów, zaalarmowania ich i udzielenia pomocy. Alarmowe kanały łączności telefonicznej i online zostały momentalnie przeciążone, i poszkodowani klienci nie mieli dostępu do informacji niezbędnych dla ochrony ich tożsamości.

Komisja twierdzi, że w przypadku Equifax mamy do czynienia z „podwyższoną odpowiedzialnością” za ochronę danych osobowych klientów. Podkreśla jednak, że rząd również powinien być bardziej zaangażowany. Zaleca organizacjom wzmocnienie nadzoru oraz zwiększenie odpowiedzialności i przejrzystości w zakresie operacyjnym i infrastrukturalnym, a także modernizację procedur bezpieczeństwa IT.

Naruszenie Equifax było jednym z największych tego rodzaju w historii USA. Jednak ponieważ wydarzyło się przed RODO, władze europejskie – w imieniu klientów z Wielkiej Brytanii – mogły nałożyć jedynie maksymalną karę dopuszczalną w ramach Ustawy o Ochronie Danych z 1996 r., 500 tysięcy funtów. Zgodnie z RODO kara ta byłaby o rząd wielkości wyższakomentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.

Jednakże amerykańska agencja nie wyszła z incydentu bez większego szwanku. Zdecydowanie nie. W ciągu kilku następujących po naruszeniu tygodni Equifax zwolniła nie jednego, lecz trzech menadżerów najwyższego szczebla. Kilku innych pracowników zostało oskarżonych o wykorzystanie poufnych informacji w związku z naruszeniem. W wyniku skandalu wyraźnie podupadł wizerunek Equifax, co też bardzo mocno zaznaczyło się na giełdzie.