Análisis: la respuesta del estado de Washington a la filtración de datos que afecta a 1,4 millones de personas es increíblemente cruel

Análisis: la respuesta del estado de Washington a la filtración de datos que afecta a 1,4 millones de personas es increíblemente cruel 2
(Foto de archivo grande)

No es culpa nuestra. Y buena suerte, estás solo.

Estos son esencialmente dos mensajes principales del gobierno del estado de Washington a sus ciudadanos y a los afectados por la reciente violación de datos del Auditor del Estado de Washington.

Como alguien que ha manejado violaciones de datos y situaciones de respuesta de seguridad durante años, estoy realmente anonadado por el tono y la (falta de) acciones en la respuesta del estado hasta ahora.

En comparación con otras violaciones importantes de datos, el estado está defendiendo una de las más fuertes desautorizaciones de responsabilidad que hemos visto. Y su respuesta a los ciudadanos cuyos datos se le encomendó proteger es asombrosamente insensible por su insuficiencia.

Lo que sabemos sobre la brecha

La violación involucra la información personal de al menos 1,47 millones de residentes del estado de Washington, incluidos nombres, números de seguro social y / o números de licencia de conducir o de identificación estatal, información bancaria y lugar de empleo.

Parece que los datos pertenecían originalmente al Departamento de Seguridad del Empleo del Estado de Washington (ESD). Sin embargo, los datos en cuestión estaban bajo la custodia del Auditor del Estado de Washington como parte de su investigación sobre $ 600 millones en pérdidas por reclamaciones fraudulentas de desempleo. Para confundir aún más la historia, el Auditor del Estado de Washington afirma que los datos fueron robados de Accellion, una empresa con sede en Palo Alto, California, cuya página de inicio anuncia servicios para «Prevenir infracciones y violaciones de cumplimiento de comunicaciones riesgosas de terceros».

Un representante de Accellion le dijo al Seattle Times que la violación involucró un “producto heredado” de 20 años de antigüedad que la compañía ha estado alentando a los clientes a dejar de usar. Según los informes, Accellion había estado alentando a los usuarios a actualizarse a un producto más nuevo, lo que hizo la oficina del auditor después de la violación de datos, según el director de marketing de Accellion, Joel York.

Esto significa que los datos confiados al Departamento de Seguridad del Empleo del Estado de Washington se entregaron en fideicomiso al Auditor del Estado de Washington como parte de su auditoría. Como parte de ese proceso, los datos fueron robados mientras estaban bajo el cuidado de Accellion, un proveedor seleccionado por el Auditor del Estado de Washington para la transmisión segura de datos y presuntamente utilizado para la auditoría. Además, si las declaraciones de Accellion son ciertas, fue robado cuando los atacantes violaron un «producto heredado de 20 años» que Accellion había alentado a los clientes a actualizar, pero el Auditor del Estado de Washington no lo hizo hasta después de la violación, cerrando la puerta del granero después de el caballo estaba fuera.

Y es importante tener en cuenta que esta es información crítica y fácil de explotar, incluidos los números de seguro social, la licencia de conducir o los números de identificación del estado, la información bancaria y el lugar de trabajo. Esta es información que se usa fácilmente para fraude bancario, robo de identidad o ambos.

La respuesta

Análisis: la respuesta del estado de Washington a la filtración de datos que afecta a 1,4 millones de personas es increíblemente cruel 3
La página de inicio del Auditor del Estado de Washington incluye un enlace para obtener más información sobre el incidente de Accellion.

Otro conjunto importante de hechos gira en torno a la respuesta de estos tres custodios de datos para proteger a los afectados.

Primero, no hay información sobre esta violación de datos disponible en el sitio de Accellion. De hecho, el sitio ni siquiera lo menciona.

Lo mismo es cierto para el Departamento de Seguridad del Empleo del Estado de Washington. No hay ninguna información allí.

El sitio web del Auditor del Estado de Washington, para su crédito, anuncia de manera destacada la violación y un enlace a una página especial creada sobre ella. Sin embargo, la orientación sobre qué hacer si se ve afectado requiere que siga una serie verdaderamente bizantina de múltiples enlaces. Y, en última instancia, la guía equivale a pasos genéricos que debe seguir para monitorear la actividad maliciosa.

Después de navegar con éxito por tres páginas web separadas en tres sitios de agencias independientes, encontrará tres guías que son genéricas y no se refieren a esta situación específicamente en absoluto.

Lo más importante es que no hay indicios de que alguna de las partes esté tomando medidas para implementar el monitoreo de robo de identidad y / o crédito en nombre de las víctimas de esta violación.

¿Quién es responsable del incumplimiento?

Primero, al observar la renuncia a la responsabilidad, el estado esencialmente ha señalado con el dedo a un proveedor y ha afirmado que la situación fue su culpa. Esta no es la primera (ni será la última) vez que una organización se vio comprometida a través de un proveedor externo. En particular, la violación de datos de Target de 2013, una de las más grandes hasta la fecha en ese momento, fue el resultado de un compromiso exitoso de una organización de terceros.

Sin embargo, en este incidente, el estado ha derogado su responsabilidad de custodia de sus (es decir, sus) datos señalando con el dedo total y exclusivamente al proveedor y no asumiendo ninguna responsabilidad. También es notable que el proveedor se haya defendido diciendo que había una opción más segura disponible, pero que el estado decidió no pagarla, destacando aún más la responsabilidad del estado en el asunto.

Sí, Accellion retuvo los datos y sufrió la violación y es responsable de eso. Pero desde una perspectiva de privacidad, los datos originalmente pertenecían al estado de Washington, por lo que la responsabilidad final de lo que les sucedió es de ellos.

Volviendo a la violación de datos de Target, Target fue en última instancia responsable de su violación de datos por los tribunales. Lo mismo ocurre con la opinión pública: pocos, si es que hay alguno, pueden nombrar al procesador de terceros involucrado en esa violación (era Fazio Mechanical). Se conoce como la «Violación de datos de destino».

En el mundo de la privacidad, hablamos de «custodios de datos» de la misma manera que los bancos son custodios del dinero. La organización a la que le da sus datos o dinero es la responsable; cualquier cosa que suceda debido a sus decisiones es culpa de ellos y su problema, no tuyo.

En pocas palabras, la respuesta del estado de Washington hasta ahora ha sido «No es nuestra culpa».

Analizando la respuesta

En el mundo de la respuesta a incidentes de seguridad y privacidad, decimos que se miden dos cosas:

  1. La gravedad del incidente.
  2. La calidad de la respuesta al incidente.

A veces, los incidentes muy graves pueden tener respuestas sobresalientes, lo que los hace mucho menos graves en general. Por el contrario, a veces los incidentes menores pueden tener respuestas terribles, empeorando mucho más.

Y luego está este caso: un incidente muy severo con una respuesta terrible.

Seamos claros: al no implementar crédito básico y / o robo de identidad a los afectados, la respuesta del estado de Washington está por debajo del estándar de facto actual en la industria. Target ofreció monitoreo gratuito para sus víctimas durante un año en 2014. Esto se ha convertido en una respuesta mínima estándar en violaciones de datos, especialmente a la luz de siete años intermedios de violaciones de datos adicionales.

Al dejar cualquier reparación y protección en manos de las víctimas sin ningún tipo de asistencia, el estado está diciendo «Buena suerte, estás solo».

Además, aunque el estado merece crédito por poner información sobre la infracción en un lugar destacado en el sitio web del Auditor, ese es el mínimo de comunicaciones para un incidente como este. El hecho de que se requiera que los usuarios pasen por tres sitios separados solo para obtener información genérica le resta valor significativo a la respuesta.

Habiendo ejecutado comunicaciones para incidentes como este, las mejores prácticas para un incidente como este serían tener una página web prominente que esté fácilmente disponible con una URL simple. Esa página tendría enlaces a toda la información relevante y una guía clara y destacada sobre qué hacer. También tendría páginas web relacionadas con enlaces desde todos los sitios potencialmente relevantes.

Continuando con el ejemplo, la Oficina del Auditor del Estado y la Oficina de Empleo del Estado apuntarían a esa única página, y tal vez incluso al sitio de Accellion también (una solicitud razonable de un cliente afectado). Otra cosa que consideraría una respuesta madura es la localización, ya que las víctimas ciertamente incluyen a aquellos para quienes el inglés no es su primer idioma.

Además, no hay indicios de que se esté produciendo una comunicación fuera de línea, como avisos por correo o publicidad en radio y televisión. Para un evento tan grave, esas deben ser tácticas de comunicación que se deben considerar para garantizar la conciencia de las personas afectadas. Tanto más cuanto que las características específicas de esta violación de datos significan que los usuarios más pobres, menos conectados y menos sofisticados corren el mayor riesgo. No solo adapta sus mensajes a su audiencia, sino también sus métodos de comunicación.

Esto me lleva al punto final de la crítica en esta respuesta. Esta violación de datos afectará de manera desproporcionada a los más vulnerables y en riesgo; Estos son datos de personas que están desempleadas durante el brote de COVID-19. A la luz de eso, cualquier organización, pero especialmente un gobierno, tiene la obligación de superar las expectativas en torno a su respuesta. En este caso, sin embargo, el estado de Washington ni siquiera cumple con las expectativas de la industria.

Hay tiempo para hacerlo bien

La realidad de hoy es que ocurren violaciones de datos. Pueden prevenirse o mitigarse con buenas prácticas de seguridad, como el uso de tecnología actualizada. El estado de Washington parece haber pasado eso mediante el uso de un sistema heredado en contra de las recomendaciones del proveedor.

Los incidentes de filtración de datos se pueden mitigar con los custodios de datos asumiendo claramente la responsabilidad del evento, moviéndose proactivamente para ofrecer medidas para proteger a los afectados y proporcionando una comunicación clara, simple, directa y procesable a los afectados que los alcanzarán. Aquí nuevamente, el estado de Washington no ha hecho nada de esto.

Agregue a esto el hecho de que estos datos afectan a los más vulnerables y afectados por la pandemia de COVID-19 y obtendrá una respuesta que es efectivamente insensible.

Hay tiempo para hacerlo bien. La violación ya impulsó a los legisladores a redactar un proyecto de ley que le daría a la Oficina de Ciberseguridad del estado más autoridad sobre cómo las agencias almacenan los datos.

Si el gobernador Jay Inslee interviene ahora, hace que el estado asuma la responsabilidad y dé a las personas la dirección y la asistencia claras que necesitan, el estado puede cambiar esto.

Si no es así, esto tiene el potencial de pasar a los libros de historia como una de las peores violaciones de datos con la peor respuesta que hemos visto en este país.

Deja un comentario