Wat besighede kan leer uit 23andMe se oortredingsreaksie
INHOUDSOPGAWE:
Elke besigheids- en IT-leier vrees die dag dat hulle gedwing word om op 'n ernstige data-oortreding te reageer. Diegene wat ongelukkig is om so 'n voorval te ervaar, moet 'n goed ingeoefende stel protokolle en prosesse hê om deur te werk as deel van hul voorvalreaksieplan. Maar selfs dit versag dalk nie wat volgende kom nie.
'n Onlangse oortreding by die DNS-toetsfirma 23andMe bied 'n paar interessante insig oor hoekom reputasiebestuur en krisiskommunikasie 'n kerndeel van insidentreaksie moet wees.
Wat het gebeur?
Die eerste wat kliënte van die oortreding gehoor het was in Oktober, toe die San Francisco-gebaseerde biotegnologiefirma aan die lig gebring het dat dit bewerings ondersoek dat kuberkrakers 'n groot volume gebruikersdata gekompromitteer het. Minstens een bedreigingsakteur het sedert Augustus aktief gesoek om wat hy beweer het 'n skat van 300 TB gebruikersdata te wees, te verkoop. Miljoene rekords is glo op die donker web te koop gestel.
It later gebeur dat kuberkrakers aanvanklik die rekeninge van ongeveer 0.1% van sy kliëntebasis, of 14,000 23 kliënte, deur 'n klassieke "geloofsvulsel"-tegniek oortree het. Met ander woorde, hulle het geloofsbriewe gekry wat die klante oor verskeie rekeninge hergebruik het en dit gebruik om hul XNUMXandMe-profiele te ontsluit.
“Deur gebruik te maak van hierdie toegang tot die gevulde rekeninge, het die bedreigingsakteur ook toegang verkry tot 'n aansienlike aantal lêers wat profielinligting oor ander gebruikers se afkoms bevat wat sulke gebruikers gekies het om te deel toe hulle ingeteken het op 23andMe se DNA Relatives-funksie en sekere inligting aanlyn geplaas het,” het die ferm voortgegaan.
23andMe later bevestig dat 'n totaal van 6.9 miljoen individue geraak is. Met ander woorde, deur een rekening te kompromitteer deur geloofsbriewe, kon die hacker toegang tot data oor daardie gebruiker en hul familie hê, wat die omvang van die oortreding aansienlik vergroot het.
Vir die meeste slagoffers het die gesteelde data hul naam, geboortejaar, verhoudingsetikette, persentasie DNS wat met familie gedeel is, afkomsverslae en selfgerapporteerde ligging ingesluit. Miskien nie verbasend nie, hierdie voorval het dosyne groepsgedinge tot gevolg gehad.
23andMe se reaksie
Dit is waar dinge meer kontroversieel begin raak. 'N Brief wat op 23 Desember deur 11andMe se prokureurs gestuur is om slagoffers van inbreuk te maak, blyk laasgenoemde vir die oortreding te blameer. Eerstens, dit beweer dat "gebruikers nalatig herwin en versuim het om hul wagwoorde op te dateer" na vorige oortredings; wat die geloofsaanvalle moontlik maak.
"Daarom was die voorval nie die gevolg van 23andMe se beweerde versuim om redelike veiligheidsmaatreëls te handhaaf nie," voeg die brief by.
Vervolgens beweer die firma se prokureurs dat selfs al het 'n oortreding plaasgevind, dit reggestel is. 23andMe stel alle geaffekteerde wagwoorde terug en beveel nou aan dat gebruikers twee-faktor-verifikasie (2FA) gebruik wanneer hulle aanmeld.
Laastens voer hulle aan dat enige inligting wat deur kuberkrakers verkry word “nie vir enige skade gebruik kan word nie”.
“Die inligting wat die ongemagtigde akteur moontlik oor eisers bekom het, kon nie gebruik word om geldelike leed aan te rig nie (dit het nie hul sosiale sekerheidsnommer, bestuurslisensienommer of enige betaling of finansiële inligting ingesluit nie),” lui die brief.
Kenners is nie so seker nie. CyberSmart se uitvoerende hoof, Jamie Akhtar, beweer hierdie argument “is nie gegrond in die realiteit van moderne kuberbedreigings nie”.
"Sulke data kan maklik deur kubermisdadigers gebruik word om sosiale ingenieursveldtogte van stapel te stuur of selfs om toegang tot 'n individu se finansiële dienste te verkry," sê hy aan ISMS.online. “Baie mense gebruik Ma se nooiensvan as ’n bykomende veiligheidsvraag.”
Daar is ook vraagtekens oor die besluit om die oortredingslagoffers as uitsluitlik te blameer vir die voorval uit te beeld. Selfs al is die 0.1% wie se rekeninge gekompromitteer is deur geloofsbriewe gedeeltelik skuldig, daardie miljoene wie hul DNS-inligting daarna geskraap het, het geen saak om te antwoord nie, beweer prokureurs vir die verweerders.
"23andMe se poging om verantwoordelikheid te ontduik deur sy kliënte te blameer, doen niks vir hierdie miljoene verbruikers wie se data deur geen eie skuld hoegenaamd gekompromitteer is nie," argumenteer Hassan Zavareei, een van die prokureurs wat hierdie slagoffers verteenwoordig.
“23andMe het geweet of moes geweet het dat baie verbruikers herwinde wagwoorde gebruik en dus dat 23andMe van die vele beskikbare voorsorgmaatreëls moes geïmplementeer het om te beskerm teen geloofsbriewe – veral as in ag geneem word dat 23andMe persoonlike identifiserende inligting, gesondheidsinligting en genetiese inligting op sy platform stoor .”
Hierdie maatreëls kon verpligte 2FA vir aanmelding ingesluit het, iets wat die firma later ingestel het. Nog 'n moontlike manier om die kompromie van klanterekeninge te versag, is om tjeks uit te voer teen databasisse van voorheen gebreekte geloofsbriewe, soos via 'n API vir die HaveIBeenPwned? werf.
'n Slegte dag vir PR
Dit alles illustreer waarom streng krisiskommunikasie en reputasiebestuur deel moet wees van jou organisasie se insidentreaksieprosesse. Volgens IBM, verteenwoordig die koste van verlore besigheid – wat die koste van verlore kliënte en die verkryging van nuwe kliënte, sowel as reputasieverliese en verminderde klandisiewaarde insluit – byna 'n derde (29%) van die gemiddelde koste van 'n data-oortreding.
Yvonne Eskenzi, medestigter van die sekuriteits-PR-agentskap Eskenzi PR, voer aan dat 23andMe se brief waarskynlik deur sy regsafdeling gedryf is, maar die risiko loop om kliënte kwaad te maak en 'n gewilde terugslag teen die maatskappy aan te wakker.
"'n Oortredingsverklaring moet nooit die nuus wees nie," vertel sy aan ISMS.online.
“Oortredings verskyn elke dag in die nuus. Die stellings is egter gewoonlik so alledaags dat dit nie as 'n gesprekspunt voorkom nie. Hulle moet feitelik wees en deur joernaliste en kliënte aangewend word vir inligting, nie spekulasie nie. Beklemtoon wat gedoen word en wat kliënte kan doen, eerder as om die negatiewe te beklemtoon.”
Ses stappe tot beter insidentreaksie
Beste praktyk kuberveiligheidstandaarde soos ISO 27001 kan jou organisasie help om omvattende voorvalbestuursprogramme te ontwerp en te implementeer. Maar daar is altyd ruimte vir verbetering.
Hier is 'n paar wenke van Eskenzi:
⦁ Stel 'n krisiskommunikasieplan in plek: Dit moet die kontakbesonderhede van sleutelbelanghebbendes insluit en waaroor hulle toesig sal hou, leiding vir werknemers en planne vir die monitering van sosiale, media en klantekanale
⦁ Doen krisissimulasies met 'n derde party: Hulle sal terugvoer gee en help om kwessies te voorkom
⦁ Vermy beskuldiging van slagoffers: Na-oortreding moet jy eerder sekuriteitspraktyke ondersoek en stappe implementeer om te verhoed dat 'n soortgelyke voorval weer gebeur, en dit dan kommunikeer
⦁ Maak seker dat alle kommunikasie na die publiek feitelik, informatief en tydig is: Vermy spekulasie, skets watter stappe gedoen word om te verhoed dat 'n oortreding weer plaasvind, en verskaf praktiese raad oor hoe partye wat geraak word hulself kan beskerm
⦁ Moenie wegskram om verskoning te vra nie: Opregte verskonings en betekenisvolle optrede kan empatie toon, vertroue herstel en handelsmerkpersepsie verbeter
⦁ Verseker kommunikasie-afdelings lei op alle eksterne kommunikasie: Regsinsette moet beperk word tot die hersiening van hul uitset, nie andersom nie
