Beranda Bisnis Penyelesaian keamanan data dengan penyedia layanan mencakup ketentuan pesanan yang diperbarui

Bisnis

Penyelesaian keamanan data dengan penyedia layanan mencakup ketentuan pesanan yang diperbarui

Penulis

10 November 2024

Prinsip domino. Efek riak. Fenomena kupu-kupu. Terapkan analogi pilihan Anda untuk menggambarkan apa yang terjadi dan kapan satu pemrograman PengembangPraktik keamanan yang diduga longgar menyebabkan pelanggaran informasi rahasia pelanggan yang disimpannya banyak sekali Perusahaan yang menggunakan perangkat lunak. Jika bisnis Anda adalah penyedia layanan – atau jika perusahaan Anda menggunakan penyedia layanan pihak ketiga untuk membantu mengelola data Anda – a Disarankan Penyelesaian FTC kemampuanPerhatian Anda. Salah satu aspek penting dari kasus ini: usulan perintah yang berisi persyaratan keamanan data baru yang mencerminkan prioritas Komisi saat ini untuk memperbarui perintah keamanan datanya.

Banyak penyedia layanan pihak ketiga menjual perangkat lunak manajemen data khusus industri kepada bisnis yang berhubungan dengan konsumen. Salah satu contohnya adalah DealerBuilt, sebuah perangkat lunak untuk dealer mobil yang dikembangkan oleh LightYear Dealer Technologies. DealerBuilt adalah nama besar di industri ini, dengan beberapa dealer terbesar di negara ini sebagai kliennya. Dealer yang melisensikan perangkat lunak DealerBuilt mengumpulkan dan memelihara sejumlah besar informasi sensitif keuangan, penggajian, akuntansi, dan informasi sensitif lainnya yang terkait dengan konsumen dan karyawan. Dealer yang menggunakan perangkat lunak dapat membuat DealerBuilt menghosting datanya atau mereka dapat menghostingnya di server mereka sendiri. Bisnis yang memilih opsi kedua secara teratur mencadangkan database mereka di jaringan DealerBuilt.

Sebelum kita membahas informasi yang tidak dapat dihindari yang mengarah pada tindakan penegakan hukum, mari kita berhenti sejenak untuk mempertimbangkan beberapa praktik DealerBuilt selama ini yang relevan dengan tindakan administratif yang diusulkan FTC. keluhan. Menurut Komisi Perdagangan Federal:

DealerBuilt menyimpan informasi dalam teks yang jelas, tanpa kontrol akses atau perlindungan otentikasi seperti kata sandi atau token. Data yang ditransfer antara dealer dan database cadangan DealerBuilt juga dalam bentuk teks yang jelas.
DealerBuilt tidak memiliki kebijakan keamanan informasi tertulis.
DealerBuilt belum memberikan pelatihan keamanan data yang wajar kepada karyawan atau kontraktor.
DealerBuilt belum menilai risiko terhadap data sensitif di jaringannya dengan melakukan penilaian risiko berkala atau melakukan pengujian kerentanan dan penetrasi.
DealerBuilt belum menggunakan langkah-langkah keamanan yang tersedia untuk memantau, antara lain, upaya tidak sah untuk mengirimkan informasi sensitif.
DealerBuilt belum menetapkan kontrol akses data yang wajar – misalnya, sistem untuk membatasi koneksi masuk ke alamat IP yang diketahui atau memerlukan otentikasi untuk mengakses database cadangan.
DealerBuilt tidak memiliki proses yang wajar untuk mengidentifikasi, memasang, dan mengamankan perangkat dengan akses ke informasi pribadi.

Dengan latar belakang dugaan kegagalan keamanan ini, apa yang terjadi selanjutnya tidaklah mengejutkan. Untuk meningkatkan penyimpanan cadangan yang tersedia, karyawan DealerBuilt membeli perangkat penyimpanan dan memasangnya di jaringan perusahaan pada bulan April 2015. Menurut FTC, manajemen DealerBuilt tidak mengambil langkah untuk memastikan perangkat tersebut disiapkan dengan aman. Jika seseorang memeriksanya, mereka akan mengetahui bahwa perangkat tersebut telah menciptakan port komunikasi terbuka yang memungkinkan informasi dikirimkan.

Maju cepat ke akhir Oktober 2016 ketika seorang peretas “melewati” port terbuka ini untuk mendapatkan akses tidak sah ke database cadangan DealerBuilt, termasuk informasi pribadi lebih dari 12 juta konsumen yang tidak terenkripsi yang disimpan oleh 130 dealer pelanggannya di Perusahaan. Peretas menyerang sistem beberapa kali, mengunduh informasi pribadi 69.283 konsumen dan direktori cadangan lengkap dari lima agen. Dan bukan itu saja karena dalam jangka waktu yang lama, pengaturan tidak aman DealerBuilt diindeks di situs web publik yang digunakan peretas untuk mengidentifikasi perangkat terhubung yang tidak aman. Apa yang pada akhirnya dicuri? Antara lain, nomor Jaminan Sosial konsumen, nomor SIM, tanggal lahir atau lahir, serta informasi gaji dan informasi keuangan tentang karyawan agensi — favorit pencuri identitas bintang lima.

DealerBuilt mengetahui pelanggaran tersebut pada tanggal 7 November 2016, ketika seorang dealer menelepon dan menanyakan alasan data pelanggan tersedia untuk umum secara online. Menurut FTC, perusahaan tidak menyadari adanya port terbuka pada perangkat penyimpanannya sampai seorang reporter memberi tahu DealerBuilt tentang kerentanan tersebut.

Edisi 1 dari keluhan Ini seharusnya terlihat familier bagi pengamat FTC. FTC menuduh bahwa perusahaan gagal merekrut karyawan secara wajar perlindungan Tindakan ini merupakan praktik yang tidak adil dan melanggar Undang-Undang Komisi Perdagangan Federal. Edisi 2 layak mendapat perhatian khusus karena DealerBuilt memenuhi definisi “lembaga keuangan” menurut Gramm-Leach-Bliley Act. Hal ini mengarah pada kepatuhan Basis Agunan GLByang menurut FTC dilanggar oleh DealerBuilt karena—antara lain—gagal mengembangkan, menerapkan, dan memelihara program keamanan informasi tertulis; Kegagalan untuk mengidentifikasi risiko yang dapat diperkirakan secara wajar terhadap keamanan, kerahasiaan dan integritas informasi pelanggan; dan kegagalan dalam menerapkan upaya perlindungan dasar dan menguji efektivitasnya secara rutin.

Untuk menyelesaikan kasus ini, perusahaan menyetujui a Sistem yang diusulkan Yang mencakup ketentuan-ketentuan baru yang patut diperhatikan Anda pasti ingin meninjaunya dengan cermat. Seperti perintah dalam kasus Clixsense dan iDressup yang diumumkan pada bulan April, perintah yang diusulkan dalam kasus ini akan mengharuskan pejabat tinggi DealerBuilt untuk memberikan sertifikat kepatuhan tahunan kepada FTC. Perintah tersebut juga mewajibkan DealerBuilt untuk menerapkan perlindungan spesifik dan dapat ditegakkan untuk mengatasi masalah yang dituduhkan dalam pengaduan — misalnya, mewajibkan perusahaan untuk melakukan pelatihan karyawan tahunan, memantau sistemnya untuk insiden keamanan data, menerapkan kontrol akses, dan menginventarisasi perangkat di jaringannya. . Selain itu, pesanan yang diusulkan membuat perubahan signifikan untuk meningkatkan akuntabilitas evaluator pihak ketiga yang bertanggung jawab meninjau program keamanan data DealerBuilt. Selain itu, perintah tersebut memberikan FTC akses yang lebih besar terhadap dokumen dan materi lain yang menjadi dasar kesimpulan penilai.

Mengapa persyaratan penyelesaian diperbarui? Ketentuan sistem yang lebih spesifik, fokus wajib manajemen senior pada masalah keamanan, dan “Lihat di bawah tenda“Penilai dan alat pemantauan baru yang diperlukan oleh FTC dirancang untuk memastikan kepatuhan terhadap Perintah dan—jika perlu—penegakan.

Setelah penyelesaian yang diusulkan dipublikasikan dalam Daftar Federal, FTC akan menerima komentar publik Selama 30 hari. Apa yang dapat diambil oleh perusahaan lain dari masalah ini?

Latih dan awasi karyawan Anda untuk berfokus pada keamanan. Menunjuk seseorang untuk bertanggung jawab atas keamanan di bisnis Anda adalah sebuah permulaan, namun itu tidak berarti Anda dapat berpura-pura bahwa kerentanan tidak ada. Bisnis yang menangani informasi pribadi sensitif konsumen memiliki tanggung jawab untuk mempertimbangkan keamanan dalam prosesnya. Lakukan pelatihan karyawan sesuai dengan sifat bisnis Anda dan perbarui agar mencerminkan risiko dan ancaman saat ini. Selain itu, pastikan ada seseorang yang mengawasi moderator yang keputusannya berdampak signifikan terhadap keamanan di perusahaan Anda.

Berhati-hatilah saat memasang perangkat yang dapat mengakses jaringan. Seperti memasukkan jari ke dalam soket, dan menambahkan Perangkat tertentu Sistem Anda berisiko menyebabkan guncangan besar. Pikirkan tentang implikasi keamanan dan pastikan Perangkat apa itu? Dipasang dengan benar.

Cakupan GLB sangat luas. Ungkapan “lembaga keuangan” mungkin menggambarkan gambaran buku besar, teller, dan pena yang dirantai ke meja, namun aturan Gramm-Leach-Bliley tidak mendefinisikan istilah tersebut. Pertimbangkan apakah bisnis Anda dapat menjadi lembaga keuangan yang tunduk pada aturan agunan GLB.

Jika perusahaan Anda menggunakan perangkat lunak atau penyedia layanan pihak ketiga, sertakan keamanan dalam kontrak Anda. Sekalipun perilaku perusahaan lain terlibat dalam pelanggaran tersebut, untukmu Informasi pelanggan mungkin berisiko dan mereka ingin mengetahui alasannya Anda Saya melakukannya untuk melindungi mereka. Seperti yang disarankan oleh publikasi FTC “Mulai dengan Keamanan”, saat mempercayakan data kepada penyedia pihak ketiga, tetapkan ekspektasi keamanan Anda, pantau apa yang mereka lakukan atas nama Anda, dan ikuti situs web yang melaporkan kerentanan yang diketahui.

Penyedia layanan bertanggung jawab untuk melindungi data pribadi yang mereka kumpulkan dan simpan. Sekalipun operasi Anda dilakukan di belakang layar, Anda tetap dapat bertanggung jawab atas pelanggaran hukum. Jika Anda menangani data sensitif konsumen atas nama perusahaan lain, keamanan harus menjadi prioritas utama.

ARTIKEL TERKAITDARI PENULIS

FTC Menantang Kampanye Influencer untuk Warner Bros. Permainan Bayangan Mordor

Penyelesaian FTC yang memecahkan rekor dengan pemilik Fortnite, Epic Games, atas pelanggaran privasi anak dan penggunaan pola gelap digital di “battle royale” terbaru

Jadilah pahlawan privasi di perusahaan Anda (termasuk perisai, jubah opsional)

ARTIKEL TERKAIT DARI PENULIS