En dataovertrædelse hos en producent af udstyr til livebegivenheder afslører medarbejdernes personlige og økonomiske data
I sidste uge, TAIT Towers Manufacturing LLC, en producent af udstyr til live events og koncerter, der har arbejdet med folk som Lady Gaga og Taylor Swift, der er udstedt en af disse erklæringer, hvor det har at forklare, hvordan det tager datasikkerhed meget alvorligt. Som mange af jer sandsynligvis ved, gør virksomheder det først efter at de har lidt et dataovertrædelse.
Angrebet fandt faktisk sted for omkring fire måneder siden i februar, men virksomheden lærte ikke noget om det før den 6. april. Efter at det blev gjort opmærksom på overtrædelsen, indledte det straks en efterforskning, der stadig pågår. Ikke desto mindre var TAIT venlig nok til at dele med os (og de mennesker, der var direkte berørt af angrebet), hvad der skete.
Table of Contents
Hackere kompromitterede en TAIT-server og medarbejdernes e-mail-konti
Den 16. februar kompromitterede en uautoriseret part en af TAITs servere og e-mail-konti for nogle af virksomhedens ansatte. Når de var inde, fik hackerne adgang til en hel del personlige oplysninger om TAIT-personale, inklusive navne, fysiske og e-mail-adresser, fødselsdato, personnummer og økonomiske kontonumre. TAIT lukkede overtrædelsen, hyrede et cybersikkerhedsfirma til at hjælpe med efterforskningen og begyndte at arbejde på at gennemføre foranstaltninger for at sikre, at lignende hændelser ikke sker i fremtiden.
Virksomheden er fast ved, at det ikke har set noget bevis for, at nogen af dataene er misbrugt, men for at være på den sikre side er det klar til at give berørte ansatte gratis beskyttelse af identitetstyveri. Erklæringen giver masser af detaljer om, hvad folk skal gøre for at tage TAIT op på dette tilbud.
For mange stykker af puslespillet mangler
Som vi allerede nævnte, er undersøgelsen stadig i gang, hvilket antyder, at selv TAIT endnu ikke har fået det fulde billede. Når det er sagt, mangler der så mange detaljer i sidste uges erklæring, at antallet af rejste spørgsmål overstiger antallet af de besvarede.
Vi ved for eksempel ikke, hvor mange e-mail-konti der blev angrebet. Der findes heller ingen oplysninger om antallet af berørte medarbejdere, og vi ved ikke engang, om angrebet målrettede personer i en bestemt region, eller om det påvirkede TAIT's kontorer over hele kloden. Metoden hackere, der bruges til at kompromittere TAITs IT-systemer, er også ukendt, hvilket betyder, at det er vanskeligt at sige, hvor sofistikerede modstandere er, og hvor dårlige konsekvenserne der kan være. Dette er ikke det eneste problem.
Om denne “vi tager sikkerhed meget alvorligt”
Virksomheder kritiseres ofte for at have givet deres dataovertrædelsesmeddelelser en kedelpladsdom, der ikke gør et rigtig godt stykke arbejde med at overbevise folk om, at den angrebne organisation "tager sikkerhed meget alvorligt." Udsagnet bringer ikke rigtig nogen værdi for underretningen, og i nogle tilfælde virker den ligefrem hul.
F.eks. Fremsatte de personer, der er ansvarlige for TAIT's sikkerhed, den samme nøjagtige påstand, men alligevel kunne de ikke sikre, at firmaets websted indlæses under HTTPS som standard. De pralede også om det multifaktor-godkendelsessystem, de har introduceret. Multifaktor-godkendelse har eksisteret i årevis, og det har vist sig at være den enkleste måde at sikre bedre databeskyttelse. I betragtning af følsomheden og omfanget af de data, TAIT håndterer, burde virksomheden sandsynligvis have tænkt på at implementere dem inden cyberkriminelle angreb snarere end efter dem.
Alt i alt beviser TAIT's overtrædelsesmeddelelse, at det er lettere at sige, at du tager sikkerhed alvorligt, end det faktisk gør.
