Mitä 700Credit-tietomurto osoittaa taloustietojärjestelmän ja toimitusketjun riskeistä, ja mitä siitä voidaan oppia?
Kate O'Flaherty
Joulukuussa luottotieto- ja henkilöllisyyden varmennuspalveluita tarjoava 700Credit hyväksytty se oli kärsinyt tietomurrosta, joka vaikutti 5.8 miljoonaan asiakkaaseen.
tapaus Kyseessä oli vaarantunut kolmannen osapuolen API, joka oli linkitetty 700Credit-verkkosovellukseen. Tietomurto havaittiin lokakuussa 2025, mutta hyökkääjät pääsivät API:in heinäkuussa, minkä ansiosta he pystyivät varastamaan arkaluonteisia tietoja, kuten nimiä, syntymäaikoja ja sosiaaliturvatunnuksia, huomaamatta.
Se oli näkyvyyden epäonnistuminen ja toimitusketjun hallinta josta kaikkien yritysten tulisi olla tietoisia. Mitä 700-luottotietomurto osoittaa taloustietojärjestelmän ja toimitusketjun riskeistä, ja mitä siitä voidaan oppia?
Sovelluskeskeinen
Fintech-yritykset, lainanantajat, jälleenmyyjät ja luottotietorekisterit ovat kaikki riippuvaisia valtavista integraatioverkostoista, joissa on usein API-rajapintoja, jotka tarjoavat suoran pääsyn arkaluontoisiin tietoihin. Kun yksi verkon solmu lakkaa toimimasta, kaikki alavirran verkon toimijat perivät vaikutuksen.
700Credit-tietomurto on erinomainen esimerkki tästä haavoittuvuudesta käytännössä. Razorbluen toimitusjohtaja Dan Kitchen sanoo, että API-rajapintojen avulla hyökkääjät pääsevät käsiksi asiakastietoihin, ja 700Credit-tapaus osoittaa, ”kuinka verkottuneeksi rahoitusekosysteemistä on tullut”.
Vaikka yrityksen sisäinen verkko ei vaarantunut, hyökkääjät pystyivät silti käyttämään ja viemään suuria määriä talousluokkaan kuuluvia identiteettitietoja luotettavan sovelluskerroksen integraation kautta. ”Tämä osoittaa, että nykyaikaisissa talousekosysteemeissä API:t ja verkkosovellukset ovat käytännössä järjestelmä, ja tämän kerroksen tietomurto voi olla aivan yhtä vahingollista kuin ydinverkon tunkeutuminen”, sanoo Mark Johnson, ANS:n myyntiä edeltävän tietoturvan johtaja.
Johnsonin mukaan suuret integraatioverkot keskittävät riskin luomalla arvokkaita datan käyttöpolkuja, jotka ohittavat perinteiset kontrollit. ”Tehokkuutta ja skaalautuvuutta silmällä pitäen suunnitelluista API-rajapinnoista voi tulla suoria kanavia arkaluonteisiin henkilötietoihin, jos niitä ylisuojellaan, valvotaan riittämättömästi tai segmentoidaan puutteellisesti.”
700Creditin tapauksessa hallintorakenteet eivät pysyneet ekosysteemin monimutkaisuuden tahdissa. Johnsonin mukaan 700Creditin hyökkääjien pitkittynyt viipymäaika viittaa siihen, että hallintomekanismit "eivät ole kehittyneet vastaamaan API-pohjaisten ekosysteemien toiminnallista monimutkaisuutta".
700Credit-tietomurto korostaa tärkeää seikkaa: 96 % API-hyökkäyksistä tulevat todennetuista lähteistä, mikä tarkoittaa, että hyökkääjät eivät murtaudu sisään. Sen sijaan he käyttävät ”laillisia ja luotettavia tunnistetietoja”, lisää Eric Schwake, Salt Securityn kyberturvallisuusstrategian johtaja.
Koska useimmat organisaatiot aliarvioivat API-varastonsa 90 prosentilla, nämä toimitusketjun haavoittuvuudet voivat johtaa jopa kymmenkertaiseen vuotavien tietojen määrään perinteisiin tietomurtoihin verrattuna, hän varoittaa.
Läpinäkymättömät rahoitustoimitusketjut
700Credit-tapaus on vain yksi esimerkki siitä, kuinka taloustietojärjestelmästä on tullut liian monimutkainen, toisiinsa yhteydessä oleva ja läpinäkymätön siihen sovellettavan hallinnon tasoon nähden. Useimmilla organisaatioilla ei ole selkeää karttaa siitä, missä niiden tiedot liikkuvat, miten niihin päästään käsiksi, mitkä kumppanit voivat tehdä niihin kyselyjä, miten ne suojaavat ne ja kuinka nopeasti ne paljastavat tapaukset.
Razorblue's Kitchenin mukaan yrityksillä ”harvoin on näkyvyyttä välittömien toimittajiensa ulkopuolelle, saati sitten heidän käyttämiinsä toimittajiin”.
Näiden ketjujen monimutkaisuus on nyt ohittanut perinteiset hallintorakenteet, mikä on jättänyt organisaatiot alttiiksi kolmansien ja jopa neljänsien osapuolten epäonnistumisille, kuten luottotietorekisterille, joka käyttää pilvipalveluntarjoajaan tai datan rikastuspalveluun perustuvaa API:a, jolla on omat haavoittuvuutensa, hän sanoo.
Yksi kolmannen osapuolen toimitusketjun hallinnan keskeisistä heikkouksista on kattavan näkyvyyden ja toimittajien tietoturvatilanteen hallinnan puute, on samaa mieltä Tracey Hannan-Jonesin, UBDS Digitalin tietoturvakonsultointijohtajan, kanssa. ”Monet organisaatiot ovat riippuvaisia ulkoisista palveluntarjoajista välttämättömien palveluiden osalta, mutta usein ne eivät suorita tiukkoja ja jatkuvia riskinarviointeja tai valvo standardoituja tietoturvatoimenpiteitä koko toimitusketjussa. Tämä luo sokeita pisteitä, joissa haavoittuvuuksia voidaan tuoda esiin ja hyödyntää aivan liian helposti.”
Toinen merkittävä heikkous on vankkojen sopimus- ja teknisten vaatimusten puute kolmannen osapuolen palveluntarjoajille, Hannan-Jones sanoo. ”Organisaatioilta puuttuu usein selkeät ja täytäntöönpanokelpoiset sopimukset, jotka edellyttäisivät turvallisuusstandardeja, tietoturvaloukkausten hallintaprotokollia ja säännöllisiä tarkastuksia. Vaikka tällaisia vaatimuksia olisi olemassa, niiden täytäntöönpano ja valvonta voivat olla epäjohdonmukaisia, varsinkin kun toimittajien määrä kasvaa.”
Ongelmaa pahentaa se, että kyberturvallisuustiimit eivät yleensä käytä tarpeeksi aikaa tai asiantuntemusta kolmansien osapuolten riskeihin. Alue nähdään usein "tylsänä ja toistuvana", sanoo Pierre Noel, Expelin tietoturvajohtaja. "On äärimmäisen vaikeaa rekrytoida kokeneita kyberturvallisuusasiantuntijoita ja saada heidät suorittamaan kolmannen osapuolen arviointi joka viikko, kuukausi tai vuosi."
Noel huomauttaa, että yritykset eivät usein ota huomioon sitä tosiasiaa, että kolmansien osapuolten riskit kehittyvät. ”Suhteesi ’yritykseen A’ voi alkaa pienestä ja kehittyä merkittävästi vuoden tai kahden kuluttua. Ellei ohjelmasi ota huomioon tätä dynaamista laajentumista, merkittävä ja riskialtis kolmas osapuoli voi jäädä huomaamatta, kunnes on liian myöhäistä.”
Sääntelyvastaus
700Credit-tapauksella on ollut merkittävä vaikutus sääntelyn vaikutusta, ja yritys lähetti tietomurtoilmoituksia useille osavaltioiden oikeuskanslerinvirastoille, mukaan lukien Maineen. Yritys toimitti yhdistetyn raportin liittovaltion kauppakomissiolle yhteistyössä National Automobile Dealers Associationin kanssa, ja tapauksesta ilmoitettiin myös FBI:lle.
Tämän tyyppisen tapahtuman jälkeen vaadittava sääntelyvaste osoittaa, että lainsäätäjät pitävät kolmansien osapuolten maksukyvyttömyyksiä yhä useammin systeemiriskinä. Kaiken kaikkiaan yritysten ”ei pitäisi olla liian optimistisia sääntelyviranomaisten reaktioista tämäntyyppisiin ongelmiin”, sanoo Expelin Noel. He yleensä neuvovat ”varmistamaan, että sinulla on riittävä kolmannen osapuolen hallintaprosessi, ja olemaan valmiita todistamaan se jokaisessa sisäisessä tai ulkoisessa tarkastuksessa”, hän sanoo.
Noelin mukaan sääntelyviranomainen ei kuitenkaan todennäköisesti määrää prosessia, joka palvelisi suurta määrää kolmansia osapuolia tai menisi pidemmälle kuin varmistaisi, että organisaatio hankkii urakoitsijalta ISO- tai SOC 2 -sertifikaatin. ”Siksi yritysten tulisi tunnustaa ristiriita ja ottaa ensimmäinen askel riskienhallintaohjelman toteuttamiseksi, joka ylittää nämä perustavanlaatuiset vaatimustenmukaisuusvaatimukset.”
Digitaalisen toiminnan sietokykyä koskeva laki UBDS Digitalin Hannan-Jonesin mukaan EU:ssa voimaan tullut DORA-laki puuttuu suoraan toimitusketjun riskeihin asettamalla tiukkoja vaatimuksia rahoituslaitoksille ja niiden kriittisille IT-toimitusketjun kumppaneille.DORA-mandaatit että organisaatiot ottavat käyttöön kattavat riskienhallintakehykset kolmansien osapuolten suhteille, mukaan lukien due diligence -tarkastukset, tietoturvallisuutta varmistavat sopimuslausekkeet, jatkuva valvonta ja mahdollisuus irtisanoa sopimukset, jos palveluntarjoajat eivät täytä sietokykystandardeja. Myös säännöllinen testaus, tapausraportointi ja selkeä vastuuvelvollisuus ulkoistetuista toiminnoista vaaditaan.”
Hallintorakenteet
Hyökkääjien päästessä dataan API:n kautta 700Credit-tietomurto on paljastanut, että monissa tapauksissa hallintorakenteet eivät ole pysyneet ekosysteemin monimutkaisuuden tahdissa. Vuosittaiset toimittajakyselyt ja vanhat due diligence -prosessit eivät yksinkertaisesti toimi, kun hyökkääjät voivat hiljaa hakea miljoonia tietueita API:n kautta ilman, että heitä havaitaan.
Tämän tyyppisten tietomurtojen estämiseksi hallinnon on sisällettävä jatkuva seuranta, toimitusketjun läpinäkyvyys, velvoitteiden kartoitus ja ISO-standardien mukainen hallinto, kuten ISO 27001 ja ISO 27701.
Mutta nämä eivät ole vain valintaruutuja. Yritysten on "siirryttävä staattisen vaatimustenmukaisuuden tuolle puolen" ja "omaksuttava jatkuva valvonta", sanoo Razorblue's Kitchen. Tämä tarkoittaa "API-liikenteen seurantaa reaaliajassa, ei vain vuosittaisten tarkastusten aikana".
Samaan aikaan yritysten tulisi vaatia toimittajiltaan läpinäkyvyyttä, velvoitteiden kartoittamista ja ymmärrystä siitä, ketkä muut ovat ketjussa, hän neuvoo.
Black Duckin vanhempi ohjelmistoarkkitehti Diane Downie suosittelee, että organisaatiot omaksuvat nollaluottamusperiaatteen tietoturvallisuudessa, erityisesti arkaluonteisten tietojen käyttöpisteiden osalta. ”Järjestelmäarkkitehtuurien riskinarvioinneissa on otettava huomioon vaarantuneiden järjestelmien, mukaan lukien luotettavien kumppaneiden järjestelmien, riskien lieventäminen.”
Rahoitusorganisaatiot eivät voi enää luottaa luottamukseen perustuviin toimittajasuhteisiin tai hitaisiin tiedonantoprosesseihin. Niiden on oltava perustavanlaatuisesti läpinäkyvämpiä ja omaksuttava standardeihin perustuva lähestymistapa dataekosysteeminsä hallintaan.
Tämän lähestymistavan hyödyt ovat selvät. Tietomurtojen todelliset kustannukset ulottuvat paljon sääntelyyn liittyvien seuraamusten ulkopuolelle ja aiheuttavat merkittävän riskin toiminnan halvaantumiselle ja mainehaitaleille, Kitchen sanoo. ”Makrotasolla tällaiset tapaukset voivat laukaista osakekurssin jyrkän laskun, heikentää sijoittajien luottamusta ja aiheuttaa hermostuneisuutta markkinoilla – erityisesti pörssiyhtiöille herkillä aloilla, kuten rahoitusalalla.”
