サービスプロバイダーとのデータセキュリティに関する和解には、更新された注文条項が含まれます

ドミノ原理。波及効果。バタフライ現象。選択したアナロジーを適用して、どのような場合に何が起こるかを説明します。 1つ ソフトウェア 開発者の緩いセキュリティ慣行により、管理されている機密顧客情報が漏洩したとされています。 複数 ソフトウェアを使用する企業。あなたのビジネスがサービスプロバイダーの場合、またはあなたの会社がデータの管理を支援するためにサードパーティのサービスプロバイダーを使用している場合、 提案された FTC和解 メリット注意してください。この事件の注目すべき側面の 1 つは、データ セキュリティ命令の更新に関する欧州委員会の現在の優先事項を反映した新しいデータ セキュリティ要件を含む命令案です。

多くのサードパーティ サービス プロバイダーは、業界固有のデータ管理ソフトウェアを消費者向け企業に販売しています。一例として、Lightyear Dealer Technologies が開発した自動車ディーラー向けソフトウェア DealerBuilt があります。 DealerBuilt は業界の大手であり、国内最大規模のディーラーを顧客として数多く抱えています。 DealerBuilt のソフトウェアをライセンス供与している販売店は、消費者や従業員に関する財務、給与、会計、その他の機密情報を大量に収集し、維持しています。ソフトウェアを使用するディーラーは、DealerBuilt にデータをホストしてもらうことも、独自のサーバーでデータをホストすることもできます。 2 番目のオプションを選択した企業は、定期的にデータベースを DealerBuilt のネットワークにバックアップします。

法執行機関の行動につながった避けられない情報に到達する前に、FTC の提案された行政措置に関連する期間中の DealerBuilt の慣行のいくつかを検討するために一時停止してみましょう。 苦情。 FTC によると:

• DealerBuilt は、パスワードやトークンなどのアクセス制御や認証保護を行わず、情報をクリア テキストで保存しました。販売店と DealerBuilt のバックアップ データベースの間で送信されるデータも平文でした。
• DealerBuilt には書面による情報セキュリティ ポリシーが定められていませんでした。
• DealerBuilt は、従業員や請負業者に対して適切なデータ セキュリティ トレーニングを提供していませんでした。
• DealerBuilt は、定期的なリスク評価や脆弱性および侵入テストの実施によって、ネットワーク上の機密データに対するリスクを評価しませんでした。
• DealerBuilt は、機密情報を転送する不正な試みを監視するために、すぐに利用できるセキュリティ対策を講じていませんでした。。
• DealerBuilt は、合理的なデータ アクセス制御を導入していませんでした。たとえば、既知の IP アドレスへの受信接続を制限したり、バックアップ データベースにアクセスするために認証を要求したりするシステムなどです。
• DealerBuilt には、個人情報にアクセスできるデバイスを選択、設置、保護するための合理的なプロセスがありませんでした。

セキュリティ障害の疑いを背景に、次に何が起こったとしても驚くべきことではありません。利用可能なバックアップ ストレージを増やすために、DealerBuilt の従業員はストレージ デバイスを購入し、2015 年 4 月に会社のネットワークに設置しました。FTC によると、DealerBuilt の経営陣はデバイスが安全にセットアップされていることを確認する措置を講じていませんでした。誰かがチェックしていれば、デバイスが情報の転送を可能にするオープン接続ポートを作成したことがわかったでしょう。

時は遡り、2016 年 10 月下旬、ハッカーがその開いたポートを「通り抜け」、DealerBuilt のバックアップ データベースに不正アクセスしました。その中には、顧客ディーラー 130 社が同社に保管していた 1,200 万人以上の消費者の暗号化されていない個人情報が含まれていました。ハッカーはシステムを複数回攻撃し、69,283 人の消費者の個人情報と 5 つの販売店のバックアップ ディレクトリ全体をダウンロードしました。それだけではありません。かなりの期間にわたって、ハッカーが安全でない接続デバイスを見つけるために使用する公開 Web サイトに DealerBuilt の安全でない設定がインデックスされていたからです。結局何が盗まれたのか？とりわけ、消費者の社会保障番号、運転免許証番号、日付または生年月日、さらにディーラー従業員の賃金および財務情報は、個人情報窃盗犯のお気に入りの 5 つ星です。

DealerBuilt がこの侵害について知ったのは、2016 年 11 月 7 日、販売店からの電話で、顧客データがインターネット上で公開されている理由を知りたいとの電話でした。 FTC によると、記者がセキュリティ上の脆弱性について DealerBuilt に語ったとき、同社はストレージ デバイスのポートが開いていることに気づきました。

1を数える 苦情 FTCウォッチャーにはおなじみのはずだ。 FTC は、同社が合理的な雇用を怠ったと主張している。 安全 この措置はFTC法に違反する不当な行為であった。 DealerBuilt はグラム・リーチ・ブライリー法の「金融機関」の定義を満たしているため、カウント 2 は特筆に値します。それは、 GLB セーフガード ルールFTCは、DealerBuiltが書面による情報セキュリティプログラムの開発、実装、維持を怠ったことにより違反したと主張している。顧客情報のセキュリティ、機密性、完全性に対する合理的に予見可能なリスクを特定できなかった。基本的な安全対策を実施せず、その有効性を定期的にテストしていません。

訴訟を解決するために、同社は以下のことに同意した。 提案された順序 注目すべき新しい条項が含まれています 慎重に検討してください。 4月に発表されたClixsenseおよびiDressup訴訟の命令と同様、この訴訟で提案されている命令では、DealerBuiltの上級役員がFTCに年次遵守証明書を提出することが求められている。この命令はまた、DealerBuiltに対し、訴状で申し立てられている問題に対処する具体的で強制力のある安全策を導入することも求めている。たとえば、毎年の従業員トレーニングの実施、データセキュリティインシデントに対するシステムの監視、アクセス制御の導入、ネットワーク上のデバイスの在庫管理などを同社に義務付ける。 。さらに、提案された命令では、DealerBuilt のデータ セキュリティ プログラムの審査を担当する第三者評価者の説明責任をさらに強化するために、大幅な変更が加えられています。さらに、この命令により、FTC は査定官が結論の基礎となる文書やその他の資料にアクセスできるようになります。

なぜ和解条件が更新されたのでしょうか? より具体的な命令条項、上級管理職の義務的なセキュリティ問題への注力、徹底的な「ボンネットの下を見てください」評価者に要求される評価、および新しい FTC 監視ツールはすべて、注文の遵守と、必要に応じて執行を保証するように設計されています。

和解案が連邦官報に掲載されると、FTC はパブリックコメントを受け付けます。 30日間。他の企業はこの事例から何を得ることができるでしょうか?

従業員がセキュリティを重視するようトレーニングし、監督します。 ビジネスのセキュリティ担当者を任命することは始まりですが、脆弱性が存在しないふりをすることができるようになるわけではありません。消費者の機密性の高い個人情報を扱う企業には、セキュリティを常に考慮する責任があります。ビジネスの性質に応じてスタッフのトレーニングを実施し、現在のリスクと脅威を反映するように更新します。さらに、会社のセキュリティに大きな影響を与える決定を下す監督者を誰かが監督していることを確認してください。

ネットワークにアクセスできるデバイスを設置する場合は注意してください。 ソケットに指を突っ込むように、 特定のデバイス システムに大きな衝撃を与える危険性があります。セキュリティへの影響を徹底的に検討し、確実に どのデバイスも 正しく取り付けられています。

GLB の適用範囲は広いです。 「金融機関」というフレーズからは、テーブルに鎖でつながれた通帳、出納係、ペンなどのイメージが思い浮かぶかもしれませんが、グラム・リーチ・ブライリー規則ではこの用語が定義されています。あなたのビジネスが GLB セーフガード規則の対象となる金融機関になる可能性があるかどうかを検討してください。

会社がサードパーティのソフトウェアまたはプロバイダーを使用している場合は、契約にセキュリティを組み込んでください。 たとえ他社の行為が違反に関与したとしても、 あなたの 顧客の情報が危険にさらされる可能性がある場合、顧客は何を知りたいと考えますか あなた 彼らを守るためにやったのです。 FTC の出版物「Start with Security」が示唆しているように、サードパーティのサービス プロバイダーにデータを委託する場合は、セキュリティに関する期待を明確にし、プロバイダーがユーザーに代わって何を行っているかを監視し、既知の脆弱性を報告する Web サイトをフォローする必要があります。

サービスプロバイダーは、収集および保存する個人データを保護する責任があります。 たとえ舞台裏で活動していたとしても、法律違反の責任を問われる可能性があります。他の企業に代わって消費者の機密データを扱う場合は、セキュリティを最優先する必要があります。