O princípio do dominó. O efeito cascata. O fenômeno da borboleta. Aplique a analogia de sua escolha para descrever o que acontece quando um programas desenvolvedorAs práticas de segurança supostamente negligentes da empresa resultam na violação de informações confidenciais de clientes mantidas por múltiplo empresas que usam o software. Se sua empresa for uma prestadora de serviços – ou se sua empresa usar prestadores de serviços terceirizados para ajudar a gerenciar seus dados – um proposto Liquidação FTC méritoé sua atenção. Um aspecto notável do caso: uma proposta de ordem que inclui novos requisitos de segurança de dados que reflectem a actual prioridade da Comissão de actualizar as suas ordens de segurança de dados.

Muitos provedores de serviços terceirizados vendem software de gerenciamento de dados específico do setor para empresas voltadas para o consumidor. Um exemplo é o DealerBuilt, software para concessionárias de automóveis desenvolvido pela LightYear Dealer Technologies. DealerBuilt é um grande nome no ramo, tendo como clientes algumas das maiores concessionárias do país. As concessionárias que licenciam o software da DealerBuilt coletam e mantêm grandes quantidades de informações confidenciais sobre finanças, folha de pagamento, contabilidade e outras informações sobre consumidores e funcionários. Os revendedores que usam o software podem fazer com que o DealerBuilt hospede seus dados ou podem hospedá-los em seus próprios servidores. As empresas que escolhem a segunda opção fazem backup regularmente de seus bancos de dados na rede do DealerBuilt.

Antes de chegar às informações inevitáveis ​​que levaram à ação policial, vamos fazer uma pausa para considerar algumas das práticas do DealerBuilt durante o período relevante para a proposta administrativa da FTC. reclamação. De acordo com a FTC:

  • O DealerBuilt armazenou informações em texto não criptografado, sem quaisquer controles de acesso ou proteções de autenticação, como senhas ou tokens. Os dados transmitidos entre as concessionárias e o banco de dados de backup do DealerBuilt também estavam em texto não criptografado.
  • O DealerBuilt não tinha uma política escrita de segurança da informação em vigor.
  • O DealerBuilt não forneceu treinamento razoável em segurança de dados para funcionários ou contratados.
  • O DealerBuilt não avaliou os riscos para os dados confidenciais em sua rede conduzindo avaliações periódicas de risco ou realizando testes de vulnerabilidade e penetração.
  • O DealerBuilt não usou medidas de segurança prontamente disponíveis para monitorar – entre outras coisas – tentativas não autorizadas de transferência de informações confidenciais.
  • O DealerBuilt não implementou controles razoáveis ​​de acesso a dados – por exemplo, sistemas para limitar conexões de entrada a endereços IP conhecidos ou exigir autenticação para acessar bancos de dados de backup.
  • O DealerBuilt não tinha um processo razoável para selecionar, instalar e proteger dispositivos com acesso a informações pessoais.

Diante desse cenário de supostas falhas de segurança, o que aconteceu a seguir não deveria ser uma surpresa. Para aumentar o armazenamento de backup disponível, um funcionário da DealerBuilt comprou um dispositivo de armazenamento e instalou-o na rede da empresa em abril de 2015. De acordo com a FTC, a administração da DealerBuilt não tomou medidas para garantir que o dispositivo fosse configurado com segurança. Se alguém tivesse verificado, teria descoberto que o dispositivo criou uma porta de conexão aberta que permitia transferências de informações.

Avançando para o final de outubro de 2016, quando um hacker “passou” por aquela porta aberta para obter acesso não autorizado ao banco de dados de backup do DealerBuilt, incluindo as informações pessoais não criptografadas de mais de 12 milhões de consumidores que 130 de suas concessionárias clientes armazenaram na empresa. O hacker atacou o sistema diversas vezes, baixando informações pessoais de 69.283 consumidores e todos os diretórios de backup de cinco concessionárias. E isso não é tudo porque, por um período substancial de tempo, as configurações inseguras do DealerBuilt foram indexadas em um site público usado por hackers para localizar dispositivos conectados inseguros. O que foi finalmente roubado? Entre outras coisas, números de Seguro Social dos consumidores, números de carteira de motorista e datas ou nascimento, bem como informações salariais e financeiras sobre funcionários de concessionárias – favoritos cinco estrelas dos ladrões de identidade.

A DealerBuilt soube da violação em 7 de novembro de 2016, quando uma concessionária ligou exigindo saber por que os dados dos clientes estavam acessíveis publicamente na Internet. De acordo com a FTC, só quando um repórter contou ao DealerBuilt sobre a vulnerabilidade de segurança é que a empresa tomou conhecimento da porta aberta em seu dispositivo de armazenamento.

Conte 1 do reclamação deve parecer familiar para os observadores da FTC. A FTC alega que a falha da empresa em empregar segurança medidas foi uma prática injusta, em violação da Lei FTC. A contagem 2 merece menção especial porque o DealerBuilt atende à definição de “instituição financeira” da Lei Gramm-Leach-Bliley. Isso desencadeia o cumprimento do Regra de salvaguardas GLBque a FTC alega que o DealerBuilt foi violado por – entre outras coisas – não desenvolver, implementar e manter um programa escrito de segurança da informação; deixar de identificar riscos razoavelmente previsíveis à segurança, confidencialidade e integridade das informações do cliente; e não implementar salvaguardas básicas e testar regularmente a sua eficácia.

Para resolver o caso, a empresa concordou com um acordo ordem proposta que inclui novas disposições notáveis você vai querer revisar com cuidado. Tal como as ordens nos casos Clixsense e iDressup anunciadas em Abril, a ordem proposta neste caso exige que um oficial sénior da DealerBuilt forneça à FTC certificações anuais de conformidade. A ordem também exige que a DealerBuilt implemente salvaguardas específicas e aplicáveis ​​que abordem os problemas alegados na reclamação – por exemplo, exigindo que a empresa conduza treinamento anual de funcionários, monitore seus sistemas em busca de incidentes de segurança de dados, implemente controles de acesso e inventário de dispositivos em sua rede. . Além disso, o pedido proposto faz alterações significativas para melhorar ainda mais a responsabilidade do avaliador terceirizado responsável pela revisão do programa de segurança de dados do DealerBuilt. Além do mais, a ordem dá à FTC maior acesso a documentos e outros materiais nos quais o avaliador baseia as suas conclusões.

Por que os termos de liquidação atualizados? As disposições de ordem mais específicas, o foco obrigatório da alta administração em questões de segurança, o “olhe sob o capô”a avaliação exigida dos avaliadores e as novas ferramentas de monitoramento da FTC são projetadas para garantir o cumprimento das ordens e – se necessário – a execução.

Assim que o acordo proposto for publicado no Federal Register, a FTC aceitará comentários públicos por 30 dias. O que outras empresas podem tirar do caso?

Treine e supervisione seus funcionários para serem centrados na segurança. Designar alguém para ser responsável pela segurança da sua empresa é um começo, mas não significa que você poderá fingir que as vulnerabilidades não existem. As empresas que lidam com informações pessoais sensíveis dos consumidores têm a responsabilidade de considerar a segurança ao longo de todo o processo. Conduza treinamento de pessoal apropriado à natureza do seu negócio e atualize-o para refletir os riscos e ameaças atuais. Além do mais, certifique-se de que alguém esteja supervisionando os supervisores cujas decisões têm um grande impacto na segurança da sua empresa.

Tenha cuidado ao instalar dispositivos com acesso à rede. Como enfiar o dedo numa tomada, adicionando certos dispositivos ao seu sistema corre o risco de causar um choque substancial. Pense nas implicações de segurança e certifique-se qualquer dispositivo é instalado corretamente.

A cobertura do GLB é ampla. A expressão “instituição financeira” pode evocar imagens de cadernetas, caixas e canetas acorrentadas a mesas, mas não é assim que as Regras Gramm-Leach-Bliley definem o termo. Considere se a sua empresa poderia ser uma instituição financeira sujeita à Regra de Salvaguardas GLB.

Se sua empresa usa software ou fornecedores de terceiros, inclua segurança em seus contratos. Mesmo que a conduta de outra empresa esteja implicada numa violação, seu as informações dos clientes podem estar em risco e eles vão querer saber o que você fez para protegê-los. Como sugere a publicação Start with Security da FTC, ao confiar dados a provedores de serviços terceirizados, descreva suas expectativas de segurança, monitore o que eles estão fazendo em seu nome e siga sites que relatam vulnerabilidades conhecidas.

Os prestadores de serviços são responsáveis ​​pela proteção dos dados pessoais que coletam e armazenam. Mesmo que suas operações ocorram nos bastidores, você ainda poderá ser responsabilizado por violações da lei. Se você lida com dados confidenciais de consumidores em nome de outras empresas, a segurança deve estar em primeiro plano.