Mitä yritykset voivat oppia 23andMen rikkomusvastauksesta
Sisällysluettelo:
Jokainen yritys- ja IT-johtaja pelkää päivää, jolloin heidän on pakko reagoida vakavaan tietomurtoon. Niillä, jotka ovat epäonnisia kokeakseen tällaisen tapauksen, tulisi olla hyvin harjoiteltu protokollia ja prosesseja, joita he voivat käsitellä osana tapaussuunnitelmaansa. Mutta tämäkään ei ehkä lievennä seuraavaa.
DNA-testausyrityksen 23andMe:n äskettäinen tietomurto tarjoaa mielenkiintoisen näkemyksen siitä, miksi maineenhallinnan ja kriisiviestinnän tulisi olla keskeinen osa tapauksiin reagoimista.
Mitä tapahtui?
Ensimmäinen, jonka asiakkaat kuulivat rikkomuksesta oli lokakuussa, kun San Franciscossa toimiva biotekniikkayritys paljasti, että se tutki väitteitä, joiden mukaan hakkerit olivat vaarantuneet suuren määrän käyttäjätietoja. Ainakin yksi uhkatoimija oli aktiivisesti yrittänyt myydä 300 Tt:n käyttäjätietoja elokuusta lähtien. Miljoonia levyjä ilmeisesti laitettiin myyntiin pimeässä verkossa.
It myöhemmin ilmeni että hakkerit murtautuivat alun perin noin 0.1 prosentin asiakaskunnasta eli 14,000 23 asiakkaasta perinteisellä "valtuutettujen tietojen täyttämistekniikalla". Toisin sanoen he saivat kirjautumistiedot, joita asiakkaat olivat käyttäneet uudelleen useilla tileillä, ja avasivat niiden avulla XNUMXandMe-profiilinsa.
"Käyttäen tätä pääsyä tunnistetiedoilla täytetyille tileille uhkatekijä pääsi myös huomattavaan määrään tiedostoja, jotka sisälsivät profiilitietoja muiden käyttäjien sukujuurista ja jotka käyttäjät päättivät jakaa liittyessään 23andMen DNA-sukulaiset -ominaisuuteen ja julkaisivat tiettyjä tietoja verkossa", yritys jatkoi.
23andMe myöhemmin vahvistettu että yhteensä 6.9 miljoonaa ihmistä kärsi. Toisin sanoen murtautumalla yhden tilin valtuustietojen täyttämisen kautta hakkeri pääsi käsiksi kyseisen käyttäjän ja hänen sukulaistensa tietoihin, mikä lisäsi huomattavasti tietomurron laajuutta.
Useimpien uhrien varastetut tiedot sisälsivät nimen, syntymävuoden, parisuhteen tunnisteet, sukulaisten kanssa jaetun DNA:n prosentuaalisen osuuden, syntyperäraportit ja oman ilmoittaman sijainnin. Ehkä ei ole yllättävää, että tämä tapaus poiki kymmeniä ryhmäkanteita.
23andMen vastaus
Täällä asiat alkavat muuttua kiistanalaisemmaksi. Kirje 23andMen asianajajat lähettivät rikoksen uhreja 11. joulukuuta, näyttää syyttävän viimeksi mainittuja rikkomuksesta. Ensinnäkin se väittää, että "käyttäjät kierrättivät huolimattomasti ja eivät päivittäneet salasanojaan" aiempien rikkomusten jälkeen; mahdollistaa valtuustietojen täyttämishyökkäykset.
"Siksi tapaus ei johtunut 23andMen väitetystä laiminlyönnistä kohtuullisten turvatoimien ylläpitämisessä", kirjeessä lisätään.
Seuraavaksi yrityksen asianajajat väittävät, että vaikka rikkomus tapahtuisi, se on korjattu. 23andMe nollaa kaikki salasanat, joihin vaikuttaa, ja vaatii nyt, että käyttäjät käyttävät kaksivaiheista todennusta (2FA) kirjautuessaan sisään.
Lopuksi he väittävät, että hakkereiden saamia tietoja "ei voida käyttää mihinkään vahinkoon".
"Tietoja, joita luvaton toimija mahdollisesti sai kantajista, ei voitu käyttää aineellisen vahingon aiheuttamiseen (se ei sisältänyt heidän sosiaaliturvatunnustaan, ajokorttinumeroaan tai mitään maksu- tai taloustietoja)," kirjeessä todetaan.
Asiantuntijat eivät ole niin varmoja. CyberSmartin toimitusjohtaja Jamie Akhtar väittää, että tämä väite "ei perustu nykyaikaisten kyberuhkien todellisuuteen".
"Kyberrikolliset voisivat helposti käyttää tällaisia tietoja sosiaalisten manipulointikampanjoiden käynnistämiseen tai jopa yksittäisen henkilön rahoituspalveluihin pääsemiseksi", hän kertoo ISMS.online-sivustolle. "Monet käyttävät äidin tyttönimeä lisäturvakysymyksenä."
Kysymysmerkkejä herättää myös päätös esittää rikkomuksen uhrit yksinomaan syyllisiksi tapahtumaan. Syytettyjen asianajajat väittävät, että vaikka ne 0.1 prosenttia, joiden tilit vaarantuivat valtuustietojen täyttämisen vuoksi, ovat osittain syyllisiä, niillä miljoonilla, joiden DNA-tietonsa raavittiin myöhemmin, ei ole mitään vastausta.
"23andMen yritys välttää vastuuta syyttämällä asiakkaitaan ei tee mitään näille miljoonille kuluttajille, joiden tiedot vaarantuivat ilman heidän omaa syytään." väittää Hassan Zavareei, yksi näitä uhreja edustavista asianajajista.
"23andMe tiesi tai sen olisi pitänyt tietää, että monet kuluttajat käyttävät kierrätettyjä salasanoja, joten 23andMe:n olisi pitänyt ottaa käyttöön joitain saatavilla olevista suojatoimista suojautuakseen tunnistetietojen täyttämiseltä – varsinkin kun otetaan huomioon, että 23andMe tallentaa alustalleen henkilökohtaisia tunnistetietoja, terveystietoja ja geneettisiä tietoja. .”
Näihin toimenpiteisiin olisi voinut sisältyä pakollinen 2FA sisäänkirjautumista varten, minkä yritys myöhemmin otti käyttöön. Toinen mahdollinen tapa lieventää asiakastilien vaarantumista on suorittaa tarkistuksia aiemmin rikottujen tunnistetietojen tietokantoihin, esimerkiksi HaveIBeenPwned?:n API:n kautta. sivusto.
Huono päivä PR:lle
Kaikki tämä havainnollistaa, miksi tiukan kriisiviestinnän ja maineenhallinnan tulisi olla osa organisaatiosi häiriötilanteiden reagointiprosesseja. IBM:n mukaan, liiketoiminnan menettämisen kustannukset – jotka sisältävät menetettyjen asiakkaiden ja uusien asiakkaiden hankinnan sekä maineen ja liikearvon heikkenemisen – ovat lähes kolmasosa (29 %) tietomurron keskimääräisistä kustannuksista.
Yvonne Eskenzi, yksi turvallisuus-PR-toimiston Eskenzi PR:n perustajista, väittää, että 23andMen kirje johtui todennäköisesti sen lakiosastosta, mutta se saattaa suututtaa asiakkaat ja ruokkia suosittua vastareaktiota yhtiötä vastaan.
"Rikkomuslausunnon ei pitäisi koskaan olla uutinen", hän kertoo ISMS.onlinelle.
”Rikkomukset näkyvät uutisissa joka päivä. Lausunnot ovat kuitenkin yleensä niin arkisia, etteivät ne näytä puheenaiheeksi. Niiden pitäisi olla tosiasioihin perustuvia, ja toimittajien ja asiakkaiden tulee perustua tietoihin, ei spekulaatioihin. Korosta sitä, mitä tehdään ja mitä asiakkaat voivat tehdä, sen sijaan, että korostat negatiivisia asioita."
Kuusi askelta parempiin tapauksiin reagoimiseen
Parhaan käytännön kyberturvallisuusstandardit kuten ISO 27001 voi auttaa organisaatiotasi suunnittelemaan ja toteuttamaan kattavia tapaustenhallintaohjelmia. Mutta aina on parantamisen varaa.
Tässä muutamia vinkkejä Eskenziltä:
⦁ Laadi kriisiviestintäsuunnitelma: sen tulee sisältää tärkeimpien sidosryhmien yhteystiedot ja heidän valvomansa tiedot, opastus työntekijöille sekä suunnitelmat sosiaalisten, media- ja asiakaskanavien seurantaan.
⦁ Suorita kriisisimulaatioita kolmannen osapuolen kanssa: He antavat palautetta ja auttavat ennaltaehkäisemään ongelmia
⦁ Vältä uhrien syyttämistä: Rikkomisen jälkeen sinun tulee sen sijaan tutkia tietoturvakäytäntöjä ja toteuttaa toimenpiteitä estääksesi vastaavan tapauksen toistumisen, ja kertoa tästä
⦁ Varmista, että kaikki yleisölle suunnattu viestintä on tosiasioihin perustuvaa, informatiivista ja oikea-aikaista: Vältä spekulaatiota, kerro, mitä toimenpiteitä on ryhdytty rikkomisen toistumisen välttämiseksi, ja anna käytännön neuvoja siitä, kuinka asianosaiset voivat suojautua.
⦁ Älä pelkää pyytää anteeksi: Vilpittömät anteeksipyynnöt ja merkitykselliset toimet voivat osoittaa empatiaa, palauttaa luottamuksen ja parantaa tuotekuvaa
⦁ Varmista, että viestintäosastot johtavat kaikissa ulkoisissa viestinnöissä: Oikeudellinen panos tulisi rajoittaa niiden tulosten tarkistamiseen, ei päinvastoin.
