Když poskytovatelé služeb třetích stran jsou stranou citlivých údajů

Podnikatelé nosí hodně klobouků. Kromě marketingu svých produktů zodpovídají za provozní funkce, jako je inventura, objednávání a ochrana zákaznických dat. Namísto správy veškerého kloboučnického zboží se některé podniky obracejí na poskytovatele služeb třetích stran, aby provozovali věci ze zákulisí. Jaké kroky však tyto společnosti podnikají, aby zajistily důvěrné spotřebitelské informace, které mají? To je jeden problém, který vyvolalo navrhované urovnání FTC s InfoTrax Systems se sídlem v Utahu.

InfoTrax poskytuje operační systémy a online distribuční nástroje pro odvětví přímého prodeje. Obchodníci na více úrovních uzavírají smlouvy s InfoTrax na provozování svých webových portálů. Prostřednictvím těchto portálů se lidé registrují u MLM jako distributoři, registrují nové distributory a zadávají objednávky pro sebe a pro spotřebitele, kteří od nich nakupují.

Tyto transakce zahrnují velké množství citlivých dat – celá jména, kreditní a debetní karty s datem vypršení platnosti a třímístnými čísly CVV, údaje o bankovních účtech, rodná čísla, uživatelská ID a hesla atd. Ujasněme si to: Nemluvíme o jméno zde nebo číslo účtu tam. Do září 2016 InfoTrax uložil osobní údaje od přibližně 11,8 milionu spotřebitelů. Podle stížnosti se však společnost InfoTrax zapojila do řady selhání dat, která vytvořila zranitelnost v její síti, slabiny, které umožnily neoprávněný přístup k důvěrným informacím spotřebitelů. FTC mimo jiné tvrdí, že:

  • InfoTrax neprovedl adekvátní kontrolu kódu a penetrační testování k posouzení kybernetických rizik;
  • InfoTrax neučinil opatření k detekci nahrávání škodlivých souborů;
  • InfoTrax nedokázal adekvátně omezit, kde na jeho síti mohou třetí strany nahrávat neznámé soubory;
  • InfoTrax nedokázal adekvátně segmentovat svou síť, aby zajistil, že distributoři jednoho klienta nebudou mít přístup k datům jiného klienta;
  • Společnosti InfoTrax se nepodařilo implementovat ochranná opatření pro detekci podezřelé aktivity – společnost například neměla účinný systém detekce narušení, který by odhalil pochybné dotazy; nepoužíval nástroje pro monitorování integrity souborů k určení, kdy byly soubory změněny, a pravidelně nesledoval neoprávněné pokusy o přenos citlivých dat ze své sítě;
  • InfoTrax uchovával důvěrné informace, včetně čísel sociálního zabezpečení, čísel kreditních a debetních karet, uživatelských ID a hesel v jasném a čitelném textu; a
  • InfoTrax neměl systematický proces pro mazání osobních údajů spotřebitelů, který již neměl obchodní potřebu uchovávat ve své síti.

To, co se stalo v důsledku těchto selhání, by nemělo být překvapením. Podle stížnosti někdy v roce 2014 narušitel zneužil zranitelnosti zabezpečení serveru InfoTrax a webové stránky klienta k nahrání škodlivého kódu, který narušiteli umožnil vzdálený přístup k datům v síti InfoTrax – což bylo provedeno celkem 17krát za dva roky. období, to vše bez toho, aby InfoTrax zaznamenal problém. Chcete-li získat podrobnosti, budete si chtít přečíst stížnost, ale FTC tvrdí, že narušitel použil několik prostředků, aby se dostal s vysoce citlivými finančními informacemi o klientech a koncových spotřebitelích InfoTraxu.

Konečně, 7. března 2016, téměř dva roky poté, co začaly krádeže dat, se InfoTrax dozvěděl o mnoha narušeních. Tip přišel ve formě upozornění, že jeden z jeho serverů dosáhl maximální kapacity, varování, které společnost obdržela pouze proto, že narušitel vytvořil archiv dat tak rozsáhlý, že na disku došlo místo. FTC říká, že teprve poté společnost podnikla kroky k odstranění vetřelce ze své sítě. Ale i tak vetřelec pokračoval v získávání dat ze serveru InfoTraxu ještě několik týdnů.

Stížnost tvrdí, že to, že společnost InfoTrax nepoužila přiměřené zabezpečení dat k ochraně osobních údajů, byla nekalá praktika v rozporu se zákonem FTC. Navrhovaná objednávka vyžaduje, aby společnost InfoTrax a tehdejší generální ředitel Mark Rawlins zavedli komplexní program zabezpečení informací, získali hodnocení každý druhý rok a každoročně certifikovali shodu. Vyrovnání navíc zavádí zvláštní ochranná opatření k řešení bezpečnostních nedostatků uváděných ve stížnosti. FTC přijímá veřejné připomínky k navrhovanému řešení.

Jaké poznatky si z případu mohou odnést další společnosti?

Snadno dostupné bezpečnostní nástroje mohou snížit rizika. FTC tvrdí, že InfoTrax mohl snížit riziko pro citlivá data zavedením snadno dostupných, nákladově efektivních ochranných opatření. Společnosti, které se zabývají bezpečností, například používají nástroje ke sledování neoprávněných vstupů a výstupů ve své síti. Pak je tu ověření vstupu, které dokáže určit, zda jsou data z potenciálně nedůvěryhodných stránek správně nakonfigurována – opatření, které může snížit riziko proniknutí škodlivého kódu do, řekněme, databáze ve vaší síti. Kromě toho mohou být nástroje pro integritu souborů schopny zjistit, zda narušitel změnil informace.

Proveďte inventarizaci dat, která máte k dispozici, a bezpečně je zlikvidujte, když již není potřeba je udržovat. Podle FTC byla jedna z databází, kterou narušitel narušil, starší soubor, o kterém InfoTrax nevěděl, že je stále na jeho serveru. Tvrzení o stížnosti ukazuje, jak je důležité vědět, co máte a kde to máte. Ilustruje to také moudrost bezpečné likvidace nepotřebných informací. Nemusíte chránit to, co už nemáte.

Zvažte dopad selhání zabezpečení na klienty a zákazníky. Krádež identity je vždy rizikem při porušení osobních údajů, ale stížnost v tomto případě přidává lidský pohled na důsledky laxního zabezpečení dat. Když si například jeden klient InfoTrax najal call centrum, aby mu pomohlo s reakcí na porušení dat, spotřebitelé a distributoři nahlásili více než 280 případů údajného podvodu, včetně 238 stížností na neoprávněné poplatky za kreditní karty, 34 stížností na otevření nových úvěrových linek, 15 stížností na daňový podvod a 1 stížnost na zneužití informací pro účely zaměstnání. Pro poskytovatele služeb třetích stran s citlivými spotřebitelskými údaji by mělo být prvotřídní zabezpečení prvořadou prioritou.

Leave a Comment

Your email address will not be published.