Mantenga sus datos seguros.
Deséchelo de forma segura después de su uso.
Dile a la gente la verdad.
No estoy diciendo que los principios sólidos de seguridad de los datos puedan resumirse en un haiku. Sin embargo, existen algunos principios básicos que todas las empresas deberían seguir. Las acciones propuestas por la FTC contra Blackbaud, Inc. resultarían en la pérdida de información confidencial sobre millones de consumidores, incluidos números de Seguro Social e información de cuentas bancarias, porque la compañía no implementó algunos de esos principios básicos que, según afirman, son datos de alto valor. fue robado. Pero esto es sólo el comienzo de cómo la FTC alega que Blackbaud violó la ley.
Con sede en Carolina del Sur, Blackbaud proporciona datos, recaudación de fondos y servicios financieros a más de 45 000 organizaciones, incluidas organizaciones sin fines de lucro, fundaciones, instituciones educativas y organizaciones de atención médica. Como tal, la empresa gestiona grandes cantidades de información confidencial sobre personas, incluidos nombres, fechas de nacimiento, información bancaria, activos estimados y conocidos, información médica y de seguros médicos, creencias religiosas, historial de donaciones y credenciales de cuentas. Blackbaud ha declarado claramente que utiliza una seguridad razonable y adecuada para proteger la información personal de los consumidores y tranquilizar a las empresas que utilizan sus servicios.
Para obtener más detalles, lea la denuncia, pero la FTC dice que a principios de 2020, los atacantes supuestamente utilizaron nombres de usuario y contraseñas de clientes de Blackbaud para acceder a determinadas bases de datos de Blackbaud. Los atacantes continuaron su búsqueda sin ser detectados durante tres meses hasta que Blackbaud descubrió el inicio de sesión sospechoso en un servidor de respaldo. Pero en ese momento, los atacantes habían robado datos de decenas de miles de clientes de Blackbaud y habían comprometido la información personal de millones de consumidores.
Una vez que se descubrió el ataque, los atacantes amenazaron con revelar los datos a menos que Blackbaud pagara un rescate. Blackbaud finalmente acordó pagar 24 Bitcoins (aproximadamente 250.000 dólares en ese momento) a cambio de la promesa de los atacantes de eliminar los datos robados. Sin embargo, Blackbaud no ha podido confirmar si los atacantes cumplieron realmente sus promesas.
La FTC dice que los métodos de cifrado inadecuados de Blackbud exacerbaron la gravedad de la violación de datos. Por ejemplo, la denuncia alega que Blackbud permite a los clientes almacenar números de seguridad social e información de cuentas bancarias en campos no cifrados, y les permite cargar archivos adjuntos que contienen su información personal. Sin embargo, Blackbud no los cifró. Además, el archivo de copia de seguridad de la base de datos no estaba cifrado.
La gravedad de esta infracción también se ve agravada por el hecho de que Blackbud no aplicó sus propias políticas de retención de datos. En otras palabras, Blackbud conservó los datos de los consumidores incluso después de que ya no existiera una necesidad comercial legítima para hacerlo. Como resultado, la FTC dice que Blackbud debería haber destruido de forma segura parte de la información personal robada por los atacantes hace años.
Si bien este puede ser el final de muchas de las quejas de seguridad de datos de la FTC, la queja contra Blackbaud incluye otra acusación inquietante. Después de realizar una investigación sobre la infracción que la FTC describió como “altamente inadecuada”, Blackbaud finalmente notificó a los clientes en julio de 2020, pero tergiversó el alcance y la gravedad de la infracción, según la denuncia. Blackbaud restó importancia a lo sucedido y dijo: “Los ciberdelincuentes no han accedido a información de tarjetas de crédito, cuentas bancarias o números de seguridad social… No han accedido a información personal de los votantes, por lo que no se requiere ninguna acción de su parte”.
Según la FTC, muchos clientes de Blackbaud llegaron a la conclusión de que no necesitaban notificar la infracción a sus consumidores. Sin embargo, como parte de su investigación en curso después de la violación, Blackbaud reveló que los atacantes en realidad robaron los números de cuentas bancarias y de Seguro Social de los consumidores. Sin embargo, la FTC dice que Blackbaud no reveló el alcance de la infracción a los clientes hasta octubre de 2020. “Esta demora en la notificación perjudicó aún más a los consumidores porque no tenían forma de saber que debían tomar medidas de mitigación para protegerse del robo de identidad”, alega la denuncia. De hecho, Blackbaud ha recibido múltiples quejas de consumidores sobre intentos de robo de identidad y fraude relacionados con información personal que se vio comprometida durante la violación.
El apartado 1 de la denuncia se basa en que Blackbaud no adoptó las medidas adecuadas para impedir el acceso no autorizado a datos sensibles de los consumidores mantenidos por sus clientes en su red. Esta es una práctica desleal que viola la Ley de la FTC. La Sección 2 alega que Blackbaud no implementó ni hizo cumplir prácticas razonables de retención de datos. El párrafo 3 aborda el hecho de que la empresa no haya comunicado con precisión el alcance y la gravedad de la infracción en su notificación inicial a los clientes. En la Sección 4, la FTC alega que Blackbaud tergiversó que utilizó salvaguardas apropiadas para proteger la información personal de los consumidores. El apartado 5 cuestiona que Blackbaud tergiversó en su notificación inicial que la información personal de los consumidores no era objeto de una violación.
La orden propuesta requeriría que Blackbaud elimine los datos que ya no son necesarios, implemente un programa integral de seguridad de la información y requiera un cronograma de retención de datos que explique por qué Blackbaud retiene datos personales y cuándo los elimina. Blackbaud también debe notificar a la FTC sobre cualquier futura violación de datos que deba informarse a otras agencias locales, estatales o federales. Una vez que el acuerdo propuesto se publique en el Registro Federal, la FTC aceptará comentarios del público durante 30 días.
¿Qué consejo puede sacar su empresa de la acción de la FTC contra Blackbaud?
Considere sus prácticas de seguridad de datos a la luz de las deficiencias alegadas en la denuncia contra Blackbaud. La seguridad de los datos adecuada no es para todas las empresas, pero usted puede mejorar sus propias prácticas analizando los errores que han dado lugar a acciones coercitivas contra otras empresas. La FTC citó múltiples formas en las que Blackbaud no proporcionó la seguridad adecuada a la información personal que tenía. Consulte el párrafo 19 de la denuncia para obtener más detalles. La FTC dijo que la compañía no implementó controles de contraseña adecuados, no siguió los estándares de la industria y las políticas internas con respecto a la autenticación multifactor, no monitoreó los intentos no autorizados de transferir información personal de los consumidores y atacó la falta de Blackbaud de implementar una segmentación de red adecuada para evitar que las personas moverse libremente por la red y las bases de datos de Blackbaud.
Cuando ya no sea necesario que el negocio mantenga información confidencial, deséchela de forma segura. Una parte importante de la política de retención de datos de una empresa es su política de destrucción de datos. No recopile información sin una necesidad comercial legítima. Mantenga su información segura mientras la tenga. Luego, deséchelo de forma segura cuando ya no sea necesario para fines comerciales. No es una buena estrategia “simplemente” conservar datos confidenciales.
Si se produce una infracción, díganos la verdad. Además, infórmelo inmediatamente. Las empresas que sufren una violación de datos tienen obligaciones legales según las leyes de notificación federales y estatales. Si su empresa sufre una infracción sujeta a una de estas leyes, realice una investigación exhaustiva lo antes posible y sea honesto con sus clientes sobre lo sucedido. Retrasar su respuesta o no proporcionar información precisa sólo agravará el daño. Como se explica en Respuesta a la violación de datos de la FTC: una guía para empresas, contar con un plan de “qué pasaría si…” antes de que surja la necesidad puede ayudarle a movilizar rápidamente recursos para la recuperación.
Fuente: https://www.ftc.gov/business-guidance/blog/2024/01/ftc-says-blackbauds-lax-security-allowed-hacker-steal-sensitive-data-thats-just-beginning-story