Hvad virksomheder kan lære af 23andMe's Breach Response
Indholdsfortegnelse:
Enhver virksomhed og it-leder frygter den dag, de er tvunget til at reagere på et alvorligt databrud. De, der er uheldige at opleve en sådan hændelse, bør have et velindøvet sæt af protokoller og processer at arbejde igennem som en del af deres hændelsesplan. Men selv dette afbøder måske ikke det næste.
Et nyligt brud hos DNA-testfirmaet 23andMe giver en interessant indsigt i, hvorfor omdømmestyring og krisekommunikation bør være en central del af hændelsesrespons.
Hvad skete der?
Den første kunder hørte om bruddet var i oktober, da det San Francisco-baserede biotekfirma afslørede, at det undersøgte påstande om, at hackere havde kompromitteret en stor mængde brugerdata. Mindst én trusselsaktør havde aktivt søgt at sælge, hvad den hævdede at være en skare på 300 TB brugerdata siden august. Millioner af plader blev tilsyneladende sat til salg på det mørke web.
It senere skete at hackere oprindeligt brød regnskaberne for omkring 0.1 % af deres kundebase, eller 14,000 kunder, gennem en klassisk "credential stuffing"-teknik. Med andre ord opnåede de legitimationsoplysninger, som kunderne havde genbrugt på tværs af flere konti og brugte dem til at låse deres 23andMe-profiler op.
"Ved at bruge denne adgang til de legitimationsfyldte konti fik trusselsaktøren også adgang til et betydeligt antal filer, der indeholdt profiloplysninger om andre brugeres herkomst, som sådanne brugere valgte at dele, da de tilmeldte sig 23andMe's DNA Relatives-funktion og lagde visse oplysninger online," fast fortsatte.
23andMe senere bekræftet at i alt 6.9 millioner individer blev berørt. Med andre ord, ved at kompromittere én konto gennem legitimationsfyldning, var hackeren i stand til at få adgang til data om denne bruger og deres pårørende, hvilket i høj grad øgede omfanget af bruddet.
For de fleste ofre omfattede de stjålne data deres navn, fødselsår, forholdsetiketter, procentdel af DNA delt med slægtninge, herkomstrapporter og selvrapporterede placering. Måske ikke overraskende affødte denne hændelse snesevis af gruppesøgsmål.
23andMe's svar
Det er her, tingene begynder at blive mere kontroversielle. Et brev sendt af 23andMe's advokater til brudofre den 11. december ser det ud til at give sidstnævnte skylden for bruddet. For det første hævder det, at "brugere uagtsomt genbrugte og undlod at opdatere deres adgangskoder" efter tidligere brud; aktiverer legitimationsfyldningsangrebene.
"Derfor var hændelsen ikke et resultat af 23andMe's påståede manglende opretholdelse af rimelige sikkerhedsforanstaltninger," tilføjer brevet.
Dernæst hævder firmaets advokater, at selvom der skete en overtrædelse, så er den blevet afhjulpet. 23andMe nulstillede alle berørte adgangskoder og påbyder nu, at brugere bruger tofaktorautentificering (2FA), når de logger ind.
Endelig hævder de, at enhver information, som hackere har adgang til, "ikke kan bruges til skade".
"De oplysninger, som den uautoriserede aktør potentielt har fået om sagsøgere, kunne ikke være blevet brugt til at forårsage økonomisk skade (den indeholdt ikke deres cpr-nummer, kørekortnummer eller nogen form for betalings- eller økonomiske oplysninger)", står der i brevet.
Eksperter er ikke så sikre. CyberSmart CEO, Jamie Akhtar, hævder, at dette argument "ikke er funderet i virkeligheden af moderne cybertrusler".
"Sådanne data kan nemt bruges af cyberkriminelle til at lancere social engineering-kampagner eller endda til at få adgang til en persons finansielle tjenester," siger han til ISMS.online. "Mange mennesker bruger mors pigenavn som et ekstra sikkerhedsspørgsmål."
Der er også spørgsmålstegn ved beslutningen om at fremstille bruddets ofre som udelukkende skyld i hændelsen. Selv hvis de 0.1 %, hvis konti blev kompromitteret af legitimationsfyldte, er delvist skyldige, har de millioner, der efterfølgende fik deres DNA-oplysninger skrabet, ingen sag at besvare, hævder de tiltaltes advokater.
"23andMe's forsøg på at unddrage sig ansvaret ved at bebrejde sine kunder gør intet for disse millioner af forbrugere, hvis data blev kompromitteret uden deres egen skyld." hævder Hassan Zavareei, en af de advokater, der repræsenterer disse ofre.
"23andMe vidste eller burde have vidst, at mange forbrugere bruger genbrugte adgangskoder, og at 23andMe derfor burde have implementeret nogle af de mange tilgængelige sikkerhedsforanstaltninger for at beskytte mod credential stuffing - især i betragtning af, at 23andMe gemmer personlige identifikationsoplysninger, helbredsoplysninger og genetiske oplysninger på sin platform ."
Disse tiltag kunne have omfattet obligatorisk 2FA til login, noget firmaet efterfølgende indførte. En anden potentiel måde at afbøde kompromittering af kundekonto er at køre kontrol mod databaser af tidligere overtrådte legitimationsoplysninger, såsom via en API til HaveIBeenPwned? websted.
En dårlig dag for PR
Alt dette illustrerer, hvorfor streng krisekommunikation og omdømmestyring bør være en del af din organisations hændelsesresponsprocesser. Ifølge IBM, omkostningerne ved tabte forretninger – som inkluderer omkostningerne ved mistede kunder og erhvervelse af nye kunder samt tab af omdømme og formindsket goodwill – repræsenterer næsten en tredjedel (29 %) af de gennemsnitlige omkostninger ved et databrud.
Yvonne Eskenzi, medstifter af sikkerheds-PR-bureauet Eskenzi PR, hævder, at 23andMes brev sandsynligvis var drevet af dets juridiske afdeling, men risikerer at gøre kunderne vrede og sætte skub i et populært modreaktion mod virksomheden.
"En overtrædelseserklæring bør aldrig være nyheden," siger hun til ISMS.online.
"Brugs optræder i nyhederne hver dag. Udsagnene er dog som regel så banale, at de ikke fremstår som en snak. De bør være faktuelle og trækkes på af journalister og kunder til information, ikke spekulationer. Fremhæv, hvad der bliver gjort, og hvad kunderne kan gøre, i stedet for at fremhæve det negative."
Seks trin til bedre reaktion på hændelser
Best practice cybersikkerhedsstandarder som ISO 27001 kan hjælpe din organisation med at designe og implementere omfattende hændelsesstyringsprogrammer. Men der er altid plads til forbedringer.
Her er et par tips fra Eskenzi:
⦁ Sæt en krisekommunikationsplan på plads: Den bør indeholde kontaktoplysningerne for nøgleinteressenter, og hvad de vil overvåge, vejledning til medarbejdere og planer for overvågning af sociale, medie- og kundekanaler
⦁ Gennemfør krisesimuleringer med en tredjepart: De vil give feedback og hjælpe med at foregribe problemer
⦁ Undgå at anklage ofre: Efter brud, bør du i stedet undersøge sikkerhedspraksis og implementere trin for at forhindre, at en lignende hændelse sker igen, og derefter kommunikere dette
⦁ Sørg for, at al offentlig kommunikation er faktuel, informativ og rettidig: Undgå spekulationer, skitser, hvilke skridt der tages for at undgå, at et brud opstår igen, og giv praktiske råd om, hvordan berørte parter kan beskytte sig selv
⦁ Vig ikke tilbage for at undskylde: Oprigtige undskyldninger og meningsfuld handling kan demonstrere empati, genoprette tillid og forbedre mærkeopfattelsen
⦁ Sørg for, at kommunikationsafdelinger fører an på alle eksterne kommunikationer: Juridisk input bør begrænses til at gennemgå deres output, ikke omvendt
