De Franse filmklassieker “The Wages of Fear” – opnieuw gemaakt in 1977 als “The Sorcerer” door de Amerikaanse regisseur William Friedkin – was een strakke thriller over een team van stoere mannen die een lading vluchtige nitroglycerine naar een afgelegen locatie in Zuid-Amerika vervoerden. Onderweg komen ze gevaren tegen: een touwbrug die aan een draad over een door overstromingen gezwollen rivier hangt, een rotsblok dat een kronkelig bergpad blokkeert, en een stuk weg dat zo vol gaten zit dat het ‘Het wasbord’ wordt genoemd.
Het verband met de aanpak van uw bedrijfsgegevens op het gebied van gegevensbeveiliging lijkt misschien niet meteen duidelijk, maar als u gevoelige persoonlijke informatie op uw netwerk of in uw bestanden hebt staan, is er een analogie te trekken. Net zoals uw rijgedrag zou veranderen als u achter het stuur zat met een koffer vol nitro, zo moet u ook de praktijken van uw bedrijf aanpassen, gezien de gevoeligheid van de informatie waarover u beschikt.
Dat is een van de principes die in de FTC’s worden geïllustreerd schikking met Ceridiaan Bedrijf. Ceridiaan biedt loonverwerking en andere HR-diensten aan zakelijke klanten. Eén product, Powerpayis een webgebaseerd systeem dat kleine bedrijven kunnen gebruiken om werknemersgegevens te verzamelen en op te slaan, bijvoorbeeld namen, adressen, e-mailadressen, telefoonnummers, burgerservicenummers, geboortedata en bankrekeningnummers voor directe storting, om hun loonverwerking te automatiseren.
Zeker, Ceridiaan was zich bewust van de gevoeligheid van de betrokken gegevens. Volgens zijn eigen contracten: “Bij het beheren van de gezondheid van werknemers en loongegevens is veiligheid van het allergrootste belang Ceridiaan. Ons uitgebreide beveiligingsprogramma is ontworpen in overeenstemming met de normen uit de ISO 27000-serie, best practices uit de sector en federale, staats- en lokale wettelijke vereisten.”
Maar zoals die van de FTC rechtszaak beweert, Ceridiaan zich bezighield met een aantal praktijken die, alles bij elkaar genomen, er niet in slaagden een redelijke en passende beveiliging te bieden voor de persoonsgegevens die zij verzamelde en bewaarde. Concreet heeft de FTC het bedrijf aangerekend:
- opgeslagen persoonlijke informatie in gemakkelijk leesbare tekst;
- onnodige risico’s creëerde door het voor onbepaalde tijd op zijn netwerk op te slaan zonder dat dit zakelijk nodig was;
- heeft de kwetsbaarheid van haar webapplicaties en netwerk voor algemeen bekende of redelijkerwijs te voorziene risico’s, zoals SQL-injectieaanvallen, niet adequaat beoordeeld;
- geen direct verkrijgbare gratis of goedkope verdedigingsmechanismen geïmplementeerd; En
- heeft nagelaten redelijke maatregelen te nemen om ongeoorloofde toegang te detecteren en te voorkomen.
Als gevolg hiervan, zegt de FTC, hebben hackers misbruik gemaakt van deze fouten door een SQL-injectieaanval uit te voeren op de Powerpay site en webapp, waarbij ze aan de slag gaan met de persoonlijke gegevens van bijna 28.000 medewerkers van Ceridian’s kleine zakelijke klanten, inclusief in sommige gevallen hun burgerservicenummer, bankrekeninggegevens en geboortedata. Om de zaak af te ronden, Ceridiaan heeft overeengekomen om een alomvattend informatiebeveiligingsprogramma op te zetten, inclusief onafhankelijke beveiligingsaudits van derden om de twee jaar gedurende de komende twintig jaar.
Wat halen slimme marketeers uit de wetshandhavingsacties van de FTC?
Sociaal veilig blijven. Natuurlijk willen bedrijven zorgvuldig omgaan met alle gegevens die zij bezitten, maar sommige informatie (bijvoorbeeld burgerservicenummers) is belangrijker als het om bescherming gaat. Het ontcijferen van het ei wanneer ID-dieven bijvoorbeeld creditcardnummers te pakken krijgen, kan al lastig genoeg zijn: stapels papierwerk waarin ongeautoriseerde afschrijvingen worden betwist en uren aan de telefoon om rekeningen op te sporen. Maar als het om burgerservicenummers gaat, kunnen de gevolgen de slachtoffers de rest van hun leven achtervolgen. Oké, misschien SSN’s zijn geen onstabiele nitroglycerine op een desolate bergweg, maar vertel dat niet aan mensen wier leven op zijn kop staat door identiteitsdiefstal waarbij hun burgerservicenummer betrokken is.
Snoei het laaghangende fruit. Hackers zullen altijd bij ons zijn. Het is dus onze taak om hun werk zo moeilijk mogelijk te maken. Veel van de voorzorgsmaatregelen die de veiligheid van uw netwerk kunnen verbeteren, zijn tegen lage of zelfs gratis kosten beschikbaar. Eén eenvoudige stap: neem contact op met uw softwareleveranciers voor patches om nieuwe bedreigingen aan te pakken. Maak er een terugkerende afspraak van in uw agenda, zodat u bij hen kunt navragen of er updates zijn. Bovendien zullen veel programma’s doorgaan en urgente beveiligingspatches en andere oplossingen installeren als uw IT-personeel de functie ‘automatische updates’ inschakelt.
Zeker veiliger. US-CERT (het United States Computer Emergency Readiness Team), onderdeel van het Department of Homeland Security, biedt responsondersteuning en verdediging tegen cyberaanvallen en deelt informatie met de overheid en de industrie. De leeszaal van US-CERT biedt een schat aan gratis bronnen voor bedrijven van elke omvang. Niet het technische type? US-CERT heeft de oplossing voor u, door materialen handig in te delen in niet-technische categorieën voor drukke leidinggevenden en technische gegevens voor IT-professionals. Hun site biedt bijvoorbeeld stapsgewijs advies over het beschermen van uw netwerk tegen een SQL-injectieaanval en andere veelvoorkomende bedreigingen.
Volgende: Meer FTC-wetshandhaving die zich bezighoudt met gegevensbeveiliging
