Deze week getuigde de net opgestapte CEO Richard Smith van kredietfirma Equifax voor een parlementaire commissie van de Amerikaanse overheid. De hack van dat bedrijf heeft niet alleen een grote impact omdat zeer persoonlijke informatie over de kredietwaardigheid van zo'n 150 miljoen mensen op straat ligt, maar ook omdat het bedrijf hard en uiterst gênant faalde in zijn IT-beveiliging.
Verbijsterende fouten
Smith kan spijt betuigen, maar 'sorry' is simpelweg niet voldoende. Om te beginnen is er iets gruwelijk mis met de tijdlijn van de ontdekking. De inbraak werd ontdekt op 29 juli en de CEO werd op de 31ste geïnformeerd. Op 2 augustus huurde hij experts in om de zaak te onderzoeken, maar gedurende twee weken liet hij zich niet eens informeren over de status van het onderzoek.
Hij kreeg een briefing op 17 augustus, twee dagen nadat jij hier om had gevraagd, maar op dat moment kwam het volgens zijn getuigenis niet eens in hem op om te vragen of persoonlijke gegevens waren bemachtigd. Dat is verbijsterend, omdat gevoelige informatie van burgers die daar niet om hebben gevraagd op een aantal plaatsen zelfs in platte tekst werd opgeslagen.
IT krijgt de schuld
Ook verdacht is de verkoop van 1,8 miljoen dollar aan aandelen van een drietal bestuursleden op 1 en 2 augustus, daags nadat de CEO op de hoogte gesteld was van de inbraak. Dat is puur toeval, stelt de CEO, ook al ging het niet om een vooraf geplande verkoop. Smith zegt dat hij deze drie al vele jaren kent en hij omschrijft ze als "mannen met integriteit". "Ik heb geen reden om te vermoeden dat ze wisten van de inbraak toen ze de verkoop aangingen", aldus de topman.
Lees ook: 11 pijnlijke uitglijders van een gehackte kredietfirma
Er werd uiteindelijk met de beschuldigende vinger gewezen naar de technicus die de patch had moeten uitvoeren. Apache waarschuwde begin maart al voor de kwetsbaarheid in webframework Struts en volgens de geschreven verklaring van Smith werd Equifax op 8 maart op verwittigd door US-CERT dat de portal gepatcht moest worden.
Management, up to and including the CEO, was aware of these deficiencies in controls and did not correct them, for years.
— Patrick McKenzie (@patio11)4 October 2017Een verhelderende Twitter-thread van technoloog Patrick McKenzie over hoe het falen van security niet de schuld is van de IT-afdeling, maar terug is te voeren naar beleidfout op beleidfout.
Hierna: Het wordt erger: Equifax moest niet alleen van het gat weten, adviezen van een beveiligingsbedrijf over patching werden genegeerd omdat de security-consultants niet ervaren genoeg waren om hier verstand van te hebben.
Volgens het interne beleid van Equifax had de kwetsbaarheid na ontdekking binnen 48 uur gepatcht moeten worden. Er werkten 255 mensen op de ruim bezette afdeling IT-beveiliging, maar het lek werd niet gedicht. Smith legde de schuld bij een 'menselijke fout': de persoon die had moeten communiceren dat het gat gepatcht moest worden had verzaakt.
Opgemerkt gat onopgemerkt?
Van de 255 mensen was er vast wel iemand die wist van de kwetsbaarheid in Apache Struts. Op 15 maart werd het interne systeem gescand op kwetsbaarheden en daaruit had moeten blijken dat er een belangrijke patch miste en dat portals nog kwetsbaar waren. Maar dat gebeurde niet en de bug bleef bestaan, zodat hackers maanden de tijd hadden om zelfs eigen query's uit te voeren en applicaties te schrijven om het systeem te scannen.
Nog erger is dat Equifax beveiligingsbedrijf Mandiant vroeg om de security door te nemen en het bedrijf wees op patchproblematiek en kwetsbare systemen. Equifax nam de adviezen niet serieus, omdat het ingezette team niet de senioriteit had die het bedrijf gewend was, zo laat een reconstructie van Bloomberg zien.
Domheid oplossen
Het is niet helemaal duidelijk of dit een technologie-issue of een beleidsissue is, maar als het om falen van software gaat, stond die duidelijk onder de invloed van een lakse houding van zijn meesters. "Het is alsof de bewakers van Fort Knox vergaten om de deur op slot te doen en niet zagen dat dieven de kluis leeghaalden", aldus Greg Walden, voorzitter van de onderzoekscommissie.
"Hoe kan dat gebeuren als er zoveel op het spel staat?" vroeg hij aan ex-CEO Smith voor daaraan toe te voegen: "Ik denk niet dat we een wet kunnen maken die domheid oplost."
Mevrouw Smit - niet haar echte naam - is programmeur met specifieke interesse in IT -privacy en security. Daarnaast is ze freelance schrijfster.
Ik hoop dat er in die commissie zeer knappe koppen en geesten zitten die Richard Smith die ene cruciale vraag zal stellen .....
'Mr Smith, are you aware that digitized automation is 100% predictable and exact?'
Het falen van de security zou dus niet een IT fout betreffen? Ik denk dat elke rechter in de VS elke IT professional zwaar zal straffen als die stelt dat IT beveiliging en inzicht niet een onderdeel is van diens disciplin en vakgebied. En voor elke opdrachtgever en werkgever geld hier, stel die ene cruciale vraag aan uw IT professional.... 'Kun u mij in een eenvoudige zin vertellen wat Digitale Automatisering is?' Als de betreffende IT professional in gebreke blijft, zou ik die zo snel mogelijk de deur uit sturen. U bespaart zich dan namelijk gegarandeerde ellende.
Reageer
Preview