ملخص

  • أصبحت حادثة الفدية التي تعرضت لها Blackbaud في عام 2020 اختبارًا للمساءلة السحابية لأن السجل العام انتقل من إشعار عميل موجز إلى أدلة من هيئة الأوراق المالية والبورصات الأمريكية (SEC) ولجنة التجارة الفيدرالية (FTC) ومدعي عام الولاية والعملاء والتقارير العامة حول الملفات المنسوخة والحقول الحساسة وتوقيت الإخطار والاحتفاظ.
  • من كان لديه سيطرة عملية على حيازة بيانات المستأجر، وأدلة سرقة البيانات، والاتصال بدفع الفدية، وتوقيت إشعار العملاء، والتعاون مع الجهات التنظيمية، والدليل على أن مكوني المؤسسات غير الربحية لم يصبحوا تكلفة خفية للتركيز السحابي؟
  • ليست مشكلة المساءلة فقط أن مهاجمًا نسخ البيانات. بل إن المؤسسات ذات المهام اعتمدت على تحقيق البائع، وجرد البيانات، وادعاءات الحذف، وضوابط الإفصاح قبل أن تتمكن من إخطار المانحين والخريجين والطلاب والمرضى والداعمين.
  • تشمل الحقائق المؤكدة إفصاح Blackbaud لاحقًا في نموذج 8-K علىhttps://investor.blackbaud.com/static-files/58a4ae64-afc5-45f7-81df-69dfc93888fc، وأمر هيئة الأوراق المالية علىhttps://www.sec.gov/files/litigation/admin/2023/33-11165.pdf، والبيان الصحفي لهيئة الأوراق المالية علىhttps://www.sec.gov/intelligence team/press-releases/2023-48، وبيان لجنة التجارة الفيدرالية علىhttps://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-require-blackbaud-delete-unnecessary-data-boost-safeguards-settle-charges-its-lax، وإعلان تسوية Blackbaud متعددة الولايات علىhttps://www.blackbaud.com/intelligence team/article/blackbaud-resolves-multi-state-attorneys-general-investigation-of-2020-security-incident.
  • يجب أن تظل الاستدلالات المدعومة محدودة: لم يتمكن العملاء غير الربحيون من التحقق بشكل مستقل من محتويات الملفات المسربة أو حذف المهاجم أو نطاق الحقول الحساسة دون أدلة من Blackbaud، لكن السجل العام لا يكشف عن كل قطعة أثرية طبية أو مجموعة بيانات خاصة بالعميل أو أثر تصحيحي.

لماذا تنتمي هذه القضية إلى ملف المخاطرة والمساءلة

تنتمي Blackbaud إلى ملف المخاطرة والمساءلة لأن العميل المرئي نادرًا ما كان الشخص النهائي المكشوف. قد تكون جامعة أو مؤسسة مستشفى أو بنك طعام أو مؤسسة خيرية لرعاية الأطفال أو منظمة دينية أو مدرسة أو متحف أو مؤسسة بحثية أو مؤسسة غير ربحية للخدمة العامة قد اشترت برنامج Blackbaud. السجلات داخل تلك الأنظمة تنتمي إلى المانحين والخريجين والمرضى والمتطوعين في الحملات والطلاب والحاضرين في الفعاليات والمستفيدين والأمناء والموظفين والداعمين. هؤلاء الأشخاص ربما لم يروا أبدًا شاشة تسجيل دخول Blackbaud. لقد تم تمثيلهم للبائع من قبل مؤسسة يثقون بها من أجل مهمتها، وليس من خلال حساب مستهلك عادي.

الجدول الزمني العام الأساسي مفيد بشكل غير عادي. يقول أمر هيئة الأوراق المالية علىhttps://www.sec.gov/files/litigation/admin/2023/33-11165.pdfأن Blackbaud اكتشفت الوصول غير المصرح به في 14 مايو 2020 وأن تحقيق الشركة أشار إلى أن الوصول ربما بدأ في وقت مبكر من فبراير 2020. يقول الأمر أن الحادث أدى إلى وصول غير مصرح به وسرقة أكثر من مليون ملف تخص أكثر من 13,000 عميل. أعلنت Blackbaud عن الحادث وأخطنت العملاء المتأثرين في 16 يوليو 2020. ثم يقول أمر هيئة الأوراق المالية أن الموظفين علموا في غضون أيام أن التصريحات السابقة حول معلومات الحساب المصرفي للمانحين وأرقام الضمان الاجتماعي كانت خاطئة لبعض العملاء، لكن نموذج 10-Q للشركة في 4 أغسطس 2020 لم يكشف عن هذا النطاق الأوسع ووصف المخاطرة بأنها افتراضية.

نموذج 8-K اللاحق لشركة Blackbaud، المتاح علىhttps://investor.blackbaud.com/static-files/58a4ae64-afc5-45f7-81df-69dfc93888fc، غير الصورة العامة للمخاطرة. قال أن التحقيق الطبي الإضافي وجد أنه بالنسبة لبعض العملاء الذين تم إخطارهم، ربما وصل المهاجم إلى حقول غير مشفرة مخصصة لمعلومات الحساب المصرفي وأرقام الضمان الاجتماعي وأسماء المستخدمين و/أو كلمات المرور. هذا لا يعني أن كل عميل تعرض لهذه الحقول. بل يعني أن بنية الإشعار الأصلية فشلت في حمل عدم اليقين الكامل وأن بعض العملاء احتاجوا إلى دعم إضافي.

سؤال المساءلة عملي إذاً. من كان لديه سيطرة عملية على حيازة بيانات المستأجر، وأدلة سرقة البيانات، والاتصال بدفع الفدية، وتوقيت إشعار العملاء، والتعاون مع الجهات التنظيمية، والدليل على أن مكوني المؤسسات غير الربحية لم يصبحوا تكلفة خفية للتركيز السحابي؟ الإجابة تبدأ بـ Blackbaud لأن Blackbaud سيطرت على البيئة المستضافة والتحقيق والإشعارات الأولى للعملاء وموقف الاحتفاظ بالبيانات والملفات الخاصة بالخدمة وتدفق الأدلة الذي تحتاجه المؤسسات النهائية لإخطار مجتمعاتها.

هذا لا يمحو مسؤولية العميل. العملاء يقررون ما البيانات التي يجمعونها، وما الحقول التي يستخدمونها، وما المرفقات التي يحملونها، ومدة الاحتفاظ بالسجلات القديمة، وكيف يتواصلون مع مكونيهم. لكن مسؤولية العميل تقع خلف بوابة أدلة البائع. إذا لم تستطع مؤسسة غير ربحية رؤية ملفات Blackbaud التي تم نسخها، أو التحقق مما إذا كان حقل مشفراً، أو فحص اتصالات المهاجم، أو تأكيد حذف البيانات بشكل مستقل، فإن انضباط أدلة البائع يصبح الشرط المسيطر لمساءلة الجميع الآخرين.

الجدول الزمني هو قضية ضوابط إفصاح، وليست مجرد قضية اختراق

الجدول الزمني مهم لأنه يظهر أن المساءلة لم تنته عندما تم طرد المهاجم. لقد تحولت إلى ضوابط إفصاح. يقول البيان الصحفي لهيئة الأوراق المالية علىhttps://www.sec.gov/intelligence team/press-releases/2023-48أن Blackbaud وافقت على دفع غرامة مدنية قدرها 3 ملايين دولار أمريكي لتسوية التهم المتعلقة بالإفصاحات المضللة، دون اعتراف أو إنكار لنتائج هيئة الأوراق المالية. النقطة المهمة لهذا الملف ليست المبلغ بالدولار. بل فشل السيطرة الذي وصفته هيئة الأوراق المالية: علم موظفو التقنية وعلاقات العملاء بمعلومات عن البيانات الحساسة لم تصل إلى الإدارة العليا المسؤولة عن الإفصاح العام قبل تقديم أغسطس 2020.

هذا نمط فشل مختلف عن فجوة جدار الحماية أو اختراق نقطة النهاية. إنها فجوة في توجيه الأدلة. في حادثة سحابية، تنتقل الحقائق من محققي نقاط النهاية إلى فرق المنتج ونصوص دعم العملاء والمحامين والمديرين التنفيذيين والجهات التنظيمية والمستثمرين والعملاء. إذا لم تتحرك تلك الحقائق بسرعة كافية أو بدقة كافية، يمكن للسجل العام أن يخبر الأشخاص المتأثرين بالشيء الخطأ حتى بعد أن تعلم الشركة أن الإشعار الأول كان غير مكتمل. للعملاء ذوي المهام، هذا التأخير ليس تجريداً في علاقات المستثمرين.

إنه يحدد متى يمكن للمانح تجميد حسابه البنكي، ومتى يمكن للمريض مراقبة إساءة استخدام الهوية، ومتى يمكن للجامعة إخطار الخريجين، ومتى يمكن للمؤسسة الخيرية الرد على الداعمين القلقين.

يصف أمر هيئة الأوراق المالية تسلسلاً حاداً بشكل خاص. إشعار Blackbaud في 16 يوليو قال أن المهاجم لم يصل إلى معلومات الحساب المصرفي للمانحين أو أرقام الضمان الاجتماعي. ثم أثارت أسئلة العملاء مخاوف من أن البيانات الحساسة قد تم تخزينها في مرفقات أو حقول غير مشفرة. بحلول 21 يوليو، وفقاً لأمر هيئة الأوراق المالية، طور الموظفون نصاً لخدمة العملاء يعترف بأن بعض المرفقات والحقول المستخدمة لتلك الفئات لم تكن مشفرة. بحلول نهاية يوليو، أكد الموظفون الوصول والسرقة لبعض معلومات الحساب المصرفي غير المشفرة للمانحين وأرقام الضمان الاجتماعي لعدد من العملاء المتأثرين. نموذج 10-Q في 4 أغسطس لم يتضمن هذا التصحيح الجوهري.

لجنة التجارة الفيدرالية لاحقاً صاغت نفس الحدث من خلال حماية المستهلك والاحتفاظ بالبيانات. بيانها علىhttps://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-require-blackbaud-delete-unnecessary-data-boost-safeguards-settle-charges-its-laxيقول أن Blackbaud فشلت في تنفيذ ضمانات مناسبة، وسمحت للاختراق بالاستمرار دون اكتشاف لأشهر، واحتفظت بالبيانات لفترة أطول من اللازم، ودفعت 24 بيتكوين بعد أن هدد المهاجم بكشف البيانات المسروقة، ولم تتحقق أبداً من أن المهاجم حذف البيانات. هذه ادعاءات لجنة التجارة الفيدرالية وشروط أمر، وليست سجلات طبية خاصة جعلتها Blackbaud علنية. لا تزال مركزية لأنها تحدد معيار المساءلة العام: الأمان والاحتفاظ والكشف والإشعار ودليل الحذف سلسلة واحدة.

تلك السلسلة هي لماذا هذه قضية اعتماد على الخدمات السحابية. العملاء لم يحتاجوا فقط إلى استجابة الحوادث الخاصة بهم. لقد احتاجوا إلى أدلة بائع يمكن تحويلها إلى إشعارات قانونية ودقيقة ومحددة لكل عميل. مؤسسة خيرية لا يمكنها بمسؤولية إخبار الداعمين "لا يلزم اتخاذ إجراء" إذا كانت مراجعة البائع نفسها ليست قوية بما يكفي لدعم هذا البيان. جامعة لا يمكنها إخبار الخريجين عما إذا كانت الحقول المصرفية أو أرقام الهوية متورطة إذا كان البائع قد حلل أسماء الملفات فقط وليس المحتويات ذات الصلة. يصبح توقيت الإشعار سطح سيطرة.

بيانات المؤسسات الخيرية ليست منخفضة المخاطرة لأن المؤسسة خيرية

عبارة "بيانات المؤسسات الخيرية" قد تبدو ناعمة. ليست كذلك. يمكن أن تحتوي قاعدة بيانات المانحين على أسماء وعناوين منزلية وعناوين بريد إلكتروني وأرقام هواتف وتواريخ ميلاد وعلاقات عائلية ومعلومات عن صاحب العمل ومؤشرات ثروة واهتمامات بالوصية وتاريخ التبرع المتكرر وتفاصيل بنكية وحضور الفعاليات وتفضيلات المتطوعين والانتماءات إلى مجالس الإدارة وملاحظات الحملات والارتباط الديني أو السياسي وعلاقات مؤسسات صحية وسجلات اتصال تكشف روابط خاصة. في سياق الجامعة، يمكن أن تشمل سجلات الخريجين الدرجة والسنة ومعرفات الطلاب وأنماط المشاركة وتفاصيل المهنة والقدرة الخيرية.

في سياق مؤسسة الرعاية الصحية، يمكن أن توحي العلاقة المؤسسية بقرب صحي حساس حتى عندما لا تكون السجلات السريرية في النظام المخترق.

نموذج 10-K لـ Blackbaud لعام 2023 علىhttps://www.sec.gov/Archives/edgar/data/1280058/000128005824000013/blkb-20231231.htmيصف منتجات جمع التبرعات وإدارة العلاقات بما في ذلك Raiser's Edge NXT وBlackbaud CRM وeTapestry وLuminate Online وTeamRaiser وJustGiving وFundraiser Performance Management وAltru. أوصاف المنتج مهمة لأنها تظهر سطح الاعتماد: جمع التبرعات ونماذج التبرع وإدارة الحملات والعطاء الرقمي وجمع التبرعات للفعاليات والتحليلات والمشاركة والعضوية وسجلات المكونين. هذه ليست ملفات عملاء معزولة. إنها ذاكرة تشغيلية للمؤسسات التي غالباً ما تكون لها علاقات طويلة مع الناس.

إشعارات العملاء تجعل الطبقة البشرية مرئية. إشعار جامعة ألاباما علىhttps://giving.ua.edu/data/قال أن Blackbaud أخطنت الجامعة في 16 يوليو 2020 أن هجوم فدية حدث في مايو وأن مجموعة فرعية من بيانات العديد من العملاء قد تم نسخها. إشعار نظام UNC علىhttps://www.northcarolina.edu/blackbaud-information-security-incident/وصف Blackbaud كأحد أكبر مزودي إدارة علاقات المكونين في العالم للتعليم العالي وقال أن بيئة البيانات المستضافة ذاتياً قد تأثرت. إشعار جامعة إدنبرة نابير علىhttps://www.napier.ac.uk/alumni/alumni-news/latest-news/blackbaud-data-security-incidentأدرج فئات بما في ذلك تفاصيل الاتصال وتفاصيل الدورة والتعليم والمشاركة مع الخريجين وأنشطة جمع التبرعات والتفاصيل المهنية والاهتمامات المقدمة من خلال الاستبيانات.

إشعارات المؤسسات الخيرية لم تكن متطابقة لأن بيانات العملاء لم تكن متطابقة. إشعار Child & Family Service علىhttps://childandfamilyservice.org/securityincident/أشار إلى معلومات السيرة الذاتية والاتصال وتاريخ العطاء والعلاقة. إشعار Task Force for Global Health علىhttps://www.taskforce.org/blackbaud-data-security-incident/وصف حادثة بائع طرف ثالث وتحقيق في تأثير بيانات المانحين. إشعار Ridgewater College علىhttps://ridgewater.edu/alumni-friends/ridgewater-college-foundation/blackbaud-data-security-incident/قال أن Blackbaud استُهدفت بين 7 فبراير وبشكل متقطع حتى 20 مايو 2020 وأخطنت الكلية في 16 يوليو. هذه الإشعارات قيمة لأنها تظهر المؤسسات النهائية وهي تترجم حدث بائع واحد إلى العديد من علاقات الثقة المحلية.

مشكلة المساءلة هي أن تلك المؤسسات النهائية كانت ضحايا ورسلاً في نفس الوقت. كان عليهم الرد على أسئلة المانحين والخريجين والداعمين أثناء الاعتماد على تحقيق Blackbaud. كما كان عليهم تقييم ما إذا كانت ممارسات البيانات الخاصة بهم جعلت التأثير أسوأ: هل خزنوا بيانات حساسة في حقول نص حر؟ هل حملوا مرفقات غير مشفرة؟ هل احتفظوا بسجلات قديمة دون غرض حالي؟ هل فهموا كيف تحتفظ Blackbaud ببيانات العملاء السابقين؟ البائع سيطر على المنصة، لكن العملاء سيطروا على بعض خيارات البيانات داخلها. المساءلة تتبع كلا الطبقتين، بالترتيب.

الحقائق المؤكدة والاستدلال المدعوم والمجهولات يجب أن تظل منفصلة

الحقائق العامة المؤكدة كافية لجعل القضية خطيرة. يقول أمر هيئة الأوراق المالية أنه تم الوصول إلى أكثر من مليون ملف وسرقتها تخص أكثر من 13,000 عميل. يقول أن الشركة اكتشفت الهجوم في 14 مايو 2020، وأعلنت عن الحادث وأخطنت العملاء المتأثرين في 16 يوليو، وقدمت نموذج 10-Q في 4 أغسطس، وكشفت في نموذج 8-K في 29 سبتمبر أن حقولاً غير مشفرة مخصصة لمعلومات الحساب المصرفي وأرقام الضمان الاجتماعي وأسماء المستخدمين و/أو كلمات المرور ربما تم الوصول إليها لبعض العملاء.

بيان لجنة التجارة الفيدرالية يقول أن الاختراق استمر لمدة ثلاثة أشهر دون اكتشاف، وأن البيانات الشخصية لملايين المستهلكين كانت متورطة، وأن الاحتفاظ غير الضروري بالبيانات كان جزءاً من المشكلة، وأن الأمر تطلب حذف البيانات غير الضرورية بالإضافة إلى برنامج أمن معلومات شامل.

نتائج الإنفاذ المؤكدة واضحة أيضاً. إعلان Blackbaud في أكتوبر 2023 علىhttps://www.blackbaud.com/intelligence team/article/blackbaud-resolves-multi-state-attorneys-general-investigation-of-2020-security-incidentيقول أنها وافقت على دفع 49.5 مليون دولار لـ 49 ولاية ومقاطعة كولومبيا وتنفيذ أو تحسين برامج وأدوات الأمن السيبراني، مع عدم الإدلاء ببيانات مضللة تتعلق بحماية البيانات والخصوصية والأمان والسرية والنزاهة ومسائل إخطار الاختراق. بيان المدعي العام لنيويورك علىhttps://ag.ny.gov/press-release/2023/attorney-general-james-and-multistate-coalition-secure-495-million-cloud-companyوصف التسوية بأنها حل تحقيق متعدد الولايات في كشف معلومات المانحين. بيان المدعي العام لكاليفورنيا علىhttps://oag.ca.gov/news/press-releases/attorney-general-bonta-secures-675-million-settlement-against-blackbaud-overأعلن تسوية منفصلة بقيمة 6.75 مليون دولار في 2024. هذه سجلات تسوية مدنية، وليست نتائج جنائية.

الاستدلال المدعوم أضيق. من المعقول الاستنتاج أن العديد من العملاء لم يتمكنوا من تحديد نطاق محتويات الملفات بشكل مستقل من أنظمتهم الخاصة لأن الحادثة وقعت داخل بيئة Blackbaud ولأن أمر هيئة الأوراق المالية يصف مراجعة Blackbaud لأسماء الملفات ومخاوف العملاء اللاحقة حول الحقول غير المشفرة. من المعقول الاستنتاج أن جودة الإشعار كانت غير متساوية لأن الإشعارات النهائية اعتمدت على معلومات البائع المتطورة. من المعقول الاستنتاج أن الاحتفاظ غير الضروري زاد من عدد الأشخاص المكشوفين لأن لجنة التجارة الفيدرالية ادعت أن Blackbaud احتفظت بالبيانات لفترة أطول من اللازم، بما في ذلك معلومات تخص العملاء السابقين.

يجب أن تظل المجهولات مجهولة. السجل العام لا يعطي قائمة كاملة بكل عميل متأثر وكل شخص متأثر وكل اسم ملف وكل حقل منسوخ وكل حقل مشفر وكل مثيل منتج خاص بالعميل وكل إشعار خاص وكل اتصال مع جهات إنفاذ القانون وكل اتصال مع المهاجم وكل استنتاج طبي وكل تحسين أمني. لا يثبت أن كل سجل منسوخ أسئ استخدامه. لا يثبت أن حذف المهاجم حدث. لا يثبت أن جميع العملاء خزنوا البيانات بمسؤولية. ولا يثبت أن جميع التصحيحات اللاحقة كانت غير فعالة. يجب على ملف المساءلة المسؤول ألا يملأ تلك الفجوات باتهامات غير مدعومة.

هذا الفصل ليس مجرد تحر قانوني. إنه الانضباط الذي يجب أن تستخدمه استجابة الحوادث نفسها. الحقائق المؤكدة تخبر الناس بالإجراء الذي يجب اتخاذه. الاستدلالات المدعومة تخبر العملاء بالأسئلة التي يجب طرحها. المجهولات تخبر الجهات التنظيمية بمكان طلب الأدلة. إذا تم مزج الفئات الثلاث، يصبح اتصال الاختراق إما راحة زائفة أو ذعر. قضية Blackbaud تظهر لماذا يجب أن تكون الفئات صريحة من الإشعار الأول.

دفع الفدية ليس دليلاً على الحذف

سجل دفع الفدية مركزي لأن العديد من الإشعارات النهائية كررت فكرة أن Blackbaud دفعت وتلقت تأكيدات بأن البيانات المنسوخة قد دمرت. بيان لجنة التجارة الفيدرالية علىhttps://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-require-blackbaud-delete-unnecessary-data-boost-safeguards-settle-charges-its-laxينص على أن Blackbaud دفعت 24 بيتكوين بعد أن هدد المهاجم بكشف البيانات، ووفقاً للجنة التجارة الفيدرالية، لم تتحقق أبداً من أن المهاجم حذف البيانات المسروقة بالفعل. إشعارات العملاء مثل إدنبرة نابير وChild & Family Service وجامعة ألاباما وصفت تأكيدات أو تأكيداً من Blackbaud حول الحذف. تظهر تلك الإشعارات الاعتماد النهائي على لغة البائع.

قضية المساءلة هي أن دفع الفدية يمكن أن يكون قرار أزمة، لكنه ليس إجراء أمني. لا يثبت الحذف. لا يثبت عدم عمل نسخة. لا يثبت عدم عرض البيانات. لا يغلق مشكلة الاحتفاظ. لا يخطر الأشخاص المتأثرين. لا يصلح مسار الوصول. لا يحل محل التشفير والتقسيم والمصادقة متعددة العوامل وإدارة الثغرات والمراقبة وأقل الامتيازات والتحقق من النسخ الاحتياطي وتقليل البيانات وضوابط الإفصاح.

دليل CISA StopRansomware علىhttps://www.cisa.gov/stopransomware/ransomware-guideودليل NIST للتعامل مع الحوادث علىhttps://csrc.nist.gov/pubs/sp/800/61/r2/finalيوفران مفردات عامة مفيدة هنا. لا يقدمان استنتاجات حول Blackbaud. يحددان لماذا يجب التعامل مع حدث الفدية من خلال الإعداد والكشف والاحتواء والاستئصال والتعافي والاتصال والدروس المستفادة. إذا دفع مزود فدية، فإن هذا القرار يقع داخل سجل الاستجابة. لا ينبغي أن يصبح الدليل على أن المستهلكين آمنون.

بالنسبة للعملاء ذوي المهام، مشكلة الحذف صعبة بشكل خاص. قد لا تملك المؤسسة الخيرية القدرة التقنية على التشكيك في ادعاء حذف البائع. قد يكون لدى الجامعة مستشار قانوني ولكن ليس لديها إمكانية الوصول إلى اتصالات البائع مع المهاجم. قد تصدر مؤسسة صغيرة إشعاراً باستخدام صياغة البائع لأنه ليس لديها شيء آخر. لهذا السبب تهم الجهات التنظيمية. تحول أمر لجنة التجارة الفيدرالية الذي يتطلب حذف البيانات وجداول الاحتفاظ ادعاء حذف إلى التزام تشغيلي: يجب على الشركة حذف البيانات التي لم تعد بحاجة إليها وتوثيق سبب بقاء البيانات المحتفظ بها ضرورية.

الدرس الدائم هو أن حذف البيانات يجب أن يكون قابلاً للسيطرة قبل وقوع الحادث. إذا احتفظت الشركة ببيانات العملاء القدامى لأن التخزين رخيص والتنظيف معقد، فإنها تخلق مجموعة اختراق أكبر. إذا لم تستطع إثبات ما كان في الملفات المنسوخة، لا تستطيع إصدار إشعارات دقيقة. إذا اعتمدت على وعود المهاجم، فقد نقلت دليل الأمان إلى الطرف الأقل ثقة في السلسلة. المساءلة تتطلب دليل حذف يخص المزود، وليس المهاجم.

إشعارات العملاء تظهر مساءلة مفوضة تحت الضغط

الإشعارات النهائية هي أفضل دليل عام على كيفية وصول الحادث إلى المجتمعات. إشعارات الجامعة والمؤسسة الخيرية والمؤسسة كررت وصف Blackbaud للحدث، وشرحت فئات البيانات المحلية، وأخبرت الأشخاص المتأثرين بما تفعله المؤسسة. هذا التكرار ليس عيباً في حد ذاته. إنها كيفية عمل اتصال حادثة الطرف الثالث. يظهر العيب عندما يكون المصدر العلوي غير مكتمل أو متأكداً بشكل مفرط أو بطيئاً في التحديث.

إشعار UNC علىhttps://www.northcarolina.edu/blackbaud-information-security-incident/صاغ Blackbaud كمزود رئيسي لإدارة علاقات المكونين في التعليم العالي. إشعار جامعة ألاباما علىhttps://giving.ua.edu/data/وصف سجلات متعلقة بالمانحين وتأكيد البائع بالدفع والحذف. إشعار إدنبرة نابير علىhttps://www.napier.ac.uk/alumni/alumni-news/latest-news/blackbaud-data-security-incidentوصف حقول مشاركة الخريجين وجمع التبرعات. Task Force for Global Health علىhttps://www.taskforce.org/blackbaud-data-security-incident/ركز على معلومات المانحين وتحقيق مؤسسي مستمر. كل إشعار كان عليه توطين حدث البائع لمجتمع متميز.

هذه مساءلة مفوضة. البائع يسيطر على الأدلة. العميل يتحكم في العلاقة مع المكونين. المكون يتحمل المخاطرة. إذا كانت أدلة البائع متأخرة، يبدو العميل مراوغاً. إذا كانت نظافة بيانات العميل سيئة، يكون لحادثة البائع تأثير أوسع. إذا فقد المكون الثقة، يمكن أن تعاني مهمة المؤسسة الخيرية حتى عندما لم تشغل المؤسسة البنية التحتية المخترقة. يختفي الخط بين مخاطرة البائع ومخاطرة المهمة.

استمرارية القطاع العام جزء من هذا لأن العديد من المؤسسات غير الربحية والجامعات والمؤسسات المجاورة للصحة ليست مؤسسات زخرفية. إنها تدعم التعليم والبحث الطبي والرعاية الاجتماعية والتراث الثقافي والاستجابة للكوارث والخدمات المجتمعية والفئات الضعيفة. يمكن أن يقلل اختراق سجلات المكونين من ثقة جمع التبرعات ويخلق أعباء دعم ويشتت الموظفين ويجعل الناس مترددين في المشاركة. الضرر التشغيلي ليس دائماً تعطل النظام. أحياناً الضرر هو تعطل الثقة: ترن الهواتف، يسأل المانحون عن تفسيرات، يستفسر الخريجون عن ممارسات البيانات، ويفقد الموظفون الوقت في إعادة بناء السجلات والالتزامات القانونية.

لذلك يجب على البائع تصميم اتصال الحادث من أجل مساءلة مفوضة. هذا يعني نطاقاً خاصاً بالعميل، وملصقات عدم يقين واضحة، وتوجيهات عمل، ومحفزات إشعار إضافية، وتنسيق مع الجهات التنظيمية، والاحتفاظ بالأدلة. ويعني أيضاً تجنب التأكيدات القاطعة قبل معرفة محتويات الملفات وممارسات حقول العملاء. في حالة Blackbaud، تظهر سجلات هيئة الأوراق المالية ولجنة التجارة الفيدرالية اللاحقة لماذا أصبح اليقين المبكر التزاماً.

الإنفاذ حول جودة الإشعار إلى التزام سيطرة

سجلات هيئة الأوراق المالية ولجنة التجارة الفيدرالية ومدعي عام الولاية وكاليفورنيا تؤكد كل منها على جزء مختلف من السلسلة. نظرت هيئة الأوراق المالية في إفصاح المستثمرين وضوابط الإفصاح. نظرت لجنة التجارة الفيدرالية في حماية المستهلك وأمن البيانات والاحتفاظ والإشعار والتمثيلات. نظر مدعوو العموم في أمن البيانات وإخطار الاختراق وواجبات حماية المستهلك عبر الاختصاصات. أضافت كاليفورنيا سجل تسوية منفصل. معاً حولوا جودة الإشعار إلى التزام سيطرة، وليس تفضيل اتصال.

تقرير AP علىhttps://apnews.com/article/dba8fac12af30f74691c7af4fec69a14مفيد كملخص إخباري عام لأنه يصف التسوية متعددة الولايات ويشير إلى أن الاختراق أثر على أكثر من 13,000 مؤسسة غير ربحية وكشف معلومات حساسة عن ملايين الأشخاص، مع الإشارة أيضاً إلى أن Blackbaud لم تعترف بأي خطأ في التسوية. تقرير Reuters علىhttps://www.reuters.com/legal/software-firm-blackbaud-pay-3-mln-misleading-disclosures-ransomware-attack-sec-2023-03-09/لخص تسوية هيئة الأوراق المالية بالمثل. التقارير الإخبارية لا تحل محل الأوامر، لكنها تظهر كيف ترجمت سجلات الإنفاذ إلى فهم عام.

جودة الإشعار لها عدة مكونات. أولاً، التوقيت: هل تعلم العميل بسرعة كافية لحماية الأشخاص المتأثرين؟ ثانياً، الخصوصية: هل حدد الإشعار فئات البيانات المعنية؟ ثالثاً، الدقة: هل كانت الادعاءات القاطعة مدعومة بأدلة؟ رابعاً، واجب التحديث: هل صححت الشركة الإشعارات عند ظهور حقائق جديدة؟ خامساً، قابلية التنفيذ: هل عرف الأشخاص المتأثرون ماذا يفعلون؟ سادساً، المساءلة: هل حددت الشركة أي الحقائق مؤكدة وأيها قيد التحقيق وأيها غير معروفة؟

يظهر السجل العام لـ Blackbaud ضعفاً في العديد من تلك المكونات. يقول أمر هيئة الأوراق المالية أن تقديم أغسطس أغفل الحقيقة الجوهرية أن بعض معلومات الحساب المصرفي غير المشفرة وأرقام الضمان الاجتماعي قد سُرقت، على الرغم من أن الموظفين علموا بذلك. ادعت لجنة التجارة الفيدرالية أن Blackbaud انتظرت ما يقرب من شهرين لإخطار العملاء ثم ضللت المستهلكين حول مدى البيانات المسروقة، بما في ذلك تصريحات بأن العملاء لا يحتاجون إلى اتخاذ إجراء. تطلبت تسويات الولايات تغييرات حول ممارسات أمن البيانات وإخطار الاختراق. هذه قضية حول الأدلة التي تتحرك ببطء شديد عبر المنظمة.

منظمة تتعامل مع سجلات حساسة لمؤسسات أخرى يجب أن تعامل ضوابط الإفصاح كجزء من بنية الأمان. تحتاج إلى مسار من النتائج الطبية إلى إشعارات العملاء وإيداعات هيئة الأوراق المالية ومنظمي الخصوصية ونصوص مركز الاتصال وإشراف مجلس الإدارة والتصحيح الخاص بالعميل. إذا كان هذا المسار غير رسمي، يمكن أن يصبح البيان الأول فخاً. قد تعرف فرق التقنية حقيقة واحدة، وفرق العملاء حقيقة أخرى، والفرق القانونية حقيقة أخرى، والقيادة العليا حقيقة أخرى. يتلقى الجمهور متوسط الجهل.

الاحتفاظ بالبيانات جعل مشكلة المساءلة أكبر

تركيز لجنة التجارة الفيدرالية على الاحتفاظ بالبيانات هو أحد أهم أجزاء سجل Blackbaud. الاحتفاظ غالباً ما يكون غير مرئي حتى وقوع الاختراق. قبل الحادث، يمكن أن تبدو البيانات التاريخية الإضافية مفيدة: قد يعود المانحون القدامى، قد يتبرع الخريجون القدامى، قد ينضم الحاضرون القدامى في الفعاليات إلى حملة، قد تساعد المرفقات القديمة في إعادة بناء علاقة. بعد الحادث، تصبح البيانات الإضافية مخزوناً مكشوفاً. إذا لم تستطع المنظمة شرح لماذا لا تزال تحتفظ بحقل، فقد خزنت مخاطرة دون غرض.

بيان لجنة التجارة الفيدرالية يقول أن Blackbaud احتفظت بالبيانات لفترة أطول من اللازم، بما في ذلك معلومات تخص العملاء السابقين. هذه التفاصيل مهمة لأنها تغير عدالة توزيع المخاطرة. قد يتوقف الشخص عن التبرع، أو يتخرج، أو يترك برنامجاً، أو ينسحب من حملة. قد تتوقف المؤسسة الأصلية عن استخدام بائع. إذا بقيت البيانات في بيئة مستضافة بعد سنوات، فإن الشخص المكشوف لا يزال يحمل المخاطرة دون أي منفعة خدمة حالية. يمكن أن يحول فشل الاحتفاظ اختراق بائع إلى ضرر طويل الذيل للأشخاص الذين ليس لديهم طريقة عملية للمطالبة بالحذف.

سيادة البيانات والمحلية تدخلان هنا أيضاً. دعمت Blackbaud عملاء في العديد من البلدان، ويصف نموذج 10-K لعام 2023 عملياتها في الولايات المتحدة وأستراليا وكندا وكوستاريكا والمملكة المتحدة، مع مستخدمين في أكثر من 100 دولة. سياق المنصة العالمية هذا مهم. قد يكون لدى عميل في ولاية قضائية التزامات تجاه مانحين أو خريجين في ولاية أخرى. قد تواجه جامعة بريطانية أو مؤسسة خيرية كندية أو مؤسسة مستشفى أمريكية أو مؤسسة غير ربحية أسترالية التزامات مختلفة للخصوصية والإخطار والاحتفاظ. تصبح بنية البائع المستضافة وخرائط البيانات الخاصة بالعميل بنية تحتية قانونية.

إرشادات ICO للفدية علىhttps://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/security/a-guide-to-data-security/ransomware-and-data-protection-compliance/هي سياق مفيد لأنها تعامل الفدية كقضية حماية بيانات، وليس مجرد حادثة برامج ضارة. لا تقدم استنتاجاً خاصاً بـ Blackbaud في هذه المقالة. تظهر لماذا يجب أن يشمل تحليل خرق البيانات الشخصية الأمان والتوفر والسرية والسرقة والتزامات المتحكم والمعالج والأدلة. في منصة متعددة المستأجرين غير ربحية، تلك الالتزامات موزعة ولكن غير مخففة.

انضباط الاحتفاظ هو أيضاً واجب العميل. لا ينبغي للعملاء تخزين أرقام الضمان الاجتماعي أو التفاصيل المصرفية أو الملاحظات الطبية أو معلومات جواز السفر أو مرفقات النص الحر الحساسة في أنظمة العلاقات إلا إذا كان لديهم غرض محدد وموقف تشفير وسياسة وصول وجدول حذف وضمان بائع. مناقشة أمر هيئة الأوراق المالية للمرفقات والحقول غير المشفرة هي تحذير: يمكن للعملاء إنشاء جيوب بيانات حساسة داخل أنظمة قد لا يفهمها المشتري. يجب على البائع حماية المنصة، لكن يجب على العملاء معرفة ما يضعونه فيها.

ضمان العميل يجب أن يكون خاصاً بالمنتج

سجل Blackbaud يظهر أيضاً لماذا ضمان البائع العام ضعيف جداً لمنصات إدارة المكونين. قد يستخدم عميل غير ربحي منتجاً واحداً لسجلات المانحين، وآخر للحملات عبر الإنترنت، وآخر لجمع التبرعات للفعاليات، وآخر للتحليلات أو إدارة المنح. كل منتج يمكن أن يخزن بيانات مختلفة، ويطبق افتراضيات مختلفة، وينشئ صادرات مختلفة، ويدعم مرفقات أو ممارسات نص حر مختلفة. إذا قال إشعار حادثة فقط أن "بيانات العميل" نُسخت، لا يزال على العميل معرفة أي منتج وأي حقول وأي سجلات تاريخية وأي صادرات وأي تكاملات متورطة.

ضمان خاص بالمنتج يجب أن يبدأ بخرائط البيانات. يجب أن يكون العميل قادراً على رؤية أي أنظمة Blackbaud تحتوي على الأسماء والعناوين وتاريخ العطاء والحقول المصرفية وأرقام الهوية وحقول تسجيل الدخول وملاحظات المشاركة والمرفقات وحضور الفعاليات وروابط العلاقات والملفات المستوردة. يجب أن يعرف ما إذا كانت تلك الحقول مشفرة وقابلة للبحث وقابلة للتصدير ومدعومة أو محتفظ بها بعد إنهاء العقد. يجب أن يعرف أيضاً ما إذا كان بإمكان مسؤولي العميل وضع بيانات حساسة عن طريق الخطأ في حقول أضعف. في حالة Blackbaud، جعل سجل الجهة التنظيمية وضع الحقل والمرفق جزءاً من قصة المساءلة. يجب أن يصبح درساً في المشتريات.

نفس الضمان يجب أن يغطي التكاملات. نادراً ما تقف أنظمة جمع التبرعات بمفردها. إنها تتصل بمعالجات الدفع ومنصات البريد الإلكتروني وأدوات التحليلات ونماذج الويب وأنظمة الفعاليات ومستودعات البيانات وأنظمة المالية وموفري الهوية. حادثة فدية في بيئة البائع الرئيسية قد لا تخترق كل تكامل مباشرة، لكن العميل لا يزال بحاجة إلى معرفة ما إذا كانت الرموز أو الصادرات أو webhooks أو سجلات API أو الملفات المستوردة كانت في الحوزة المتأثرة. إجابة "قاعدة بيانات" ضيقة قد تفوت الواقع التشغيلي لكيفية أتمتة عمل جمع التبرعات.

المؤسسات الخيرية الصغيرة تحتاج إلى هذا الدليل في شكل يمكنها استخدامه. قد يكون لدى الجامعة الكبيرة مستشار خصوصية وموظفو مشتريات ومراجعون أمنيون. قد يكون لدى المؤسسة الخيرية المحلية مدير عمليات واحد ومتطوع لجمع التبرعات وعضو مجلس إدارة مسؤول عن الإشراف التقني. إذا كان ضمان البائع مكتوباً فقط لمحامي المؤسسات، فإن العملاء ذوي القدرات الداخلية الأقل قد يتخذون أضعف قرارات الاحتفاظ والإشعار. مزود سحابي يخدم المؤسسات ذات المهام يجب أن ينشر ضماناً متعدد الطبقات: ملخص حادثة بلغة بسيطة، وتقرير فئات بيانات خاص بالعميل، وتحديث ضوابط أمنية، ومواد أعمق للعملاء المنظمين أو ذوي المخاطر العالية.

ضمان العميل يجب أن يفصل أيضاً الأنظمة الحية عن النسخ الاحتياطية والأرشيفات. غالباً ما يفترض المكونون أنهم إذا توقفوا عن التبرع أو طلبوا من المؤسسة الخيرية التوقف عن الاتصال بهم، فإن مخاطرتهم تنخفض. قد لا يكون ذلك صحيحاً إذا بقيت الصادرات القديمة ومجموعات النسخ الاحتياطي وملفات الحملات المؤرشفة وقواعد بيانات العملاء السابقين. مخاوف لجنة التجارة الفيدرالية بشأن الاحتفاظ تجعل هذه النقطة ملموسة. يجب أن تشرح حزمة الضمان الدفاعية جداول الحذف والاحتفاظ بالنسخ الاحتياطية بطريقة يمكن للعملاء ترجمتها إلى إشعارات الخصوصية الخاصة بهم.

أخيراً، يجب أن يكون ضمان المنتج مستمراً. لا ينبغي أن يبدأ فقط بعد وقوع حادث. يجب على العملاء مراجعة فئات البيانات عند التنفيذ، بعد الحملات الكبيرة، عند استيراد السجلات القديمة، عند تغيير تدفقات الدفع، عند تمكين وحدات جديدة، وعند التجديد. الاختراق يكشف القرارات التاريخية. الحوكمة الأفضل تقلل التاريخ الذي يمكن كشفه.

تلك المراجعة المستمرة يجب أن تشمل تصميم الأدوار بالإضافة إلى حقول البيانات. جمع التبرعات وعلاقات الخريجين وإدارة المنح والمالية والفعاليات وإدارة المتطوعين والتقارير التنفيذية يمكن أن تتطلب أنماط وصول مختلفة. إذا أصبحت حقوق المسؤول الواسعة افتراضاً ملائماً، فإن العميل يخلق سطح كشف أكبر داخل بيئة البائع. إذا لم يستطع البائع إظهار العملاء أين توجد الأدوار المميزة، ومتى تم استخدامها آخر مرة، وأي صادرات أو مرفقات يمكنها الوصول إليها، لا يستطيع العميل حوكمة الجزء الخاص به من المخاطرة.

لذلك يشير سجل Blackbaud إلى التزام ضمان مشترك: يجب على المزود جعل ضوابط المنتج مرئية بما يكفي لاستخدامها، ويجب على العملاء معاملة تلك الضوابط كجزء من إدارة المانحين والمكونين بدلاً من إعداد مكتب خلفي مع مراجعة دورية على مستوى مجلس الإدارة.

ما يجب أن يثبته الإصلاح الدائم

الإصلاح الدائم بعد حادثة Blackbaud يجب أن يثبت سبعة أشياء. أولاً، يجب أن يثبت النطاق. يجب أن يعرف المزود أي المنتجات والعملاء والملفات والحقول والمرفقات وفئات البيانات ومجموعات الأشخاص تأثروا. مراجعة أسماء الملفات قد تكون نقطة بداية، لكن ادعاء النطاق الذي يؤثر على المعلومات المصرفية أو أرقام الهوية يحتاج إلى أدلة على مستوى المحتوى أو سبب موثق لاستحالة مراجعة المحتوى.

ثانياً، يجب أن يثبت سلامة الإشعار. يجب أن يكون هناك مسار موثق من الحقائق الطبية إلى إشعارات العملاء والإشعارات الإضافية وإفصاحات المستثمرين وتقارير الجهات التنظيمية ونصوص مركز الاتصال وتقارير مجلس الإدارة. إذا علم فريق تقني أن إشعاراً خاطئ، يجب ألا يعتمد التصحيح على التصعيد غير الرسمي. قضية هيئة الأوراق المالية تظهر أن ضوابط الإفصاح هي بحد ذاتها نتيجة أمنية.

ثالثاً، يجب أن يثبت السيطرة على الاحتفاظ. يجب أن تكون جداول الاحتفاظ بالبيانات خاصة بالمنتج والعميل بما يكفي لشرح لماذا تُحتجز البيانات، ومتى سيتم حذفها، ومن يمكنه الموافقة على الاستثناءات. لا ينبغي أن تبقى بيانات العملاء السابقين في بيئات الإنتاج أو النسخ الاحتياطي القابلة للوصول دون حاجة قابلة للدفاع. إذا كان الاحتفاظ مطلوباً قانونياً، يجب حمايته وفقاً للحساسية.

رابعاً، يجب أن يثبت التشفير وحوكمة الحقول. مزود يسمح بحقول النص الحر والمرفقات يجب أن يعرف أين قد تظهر البيانات الحساسة خارج الحقول المحمية. التشفير يساعد فقط إذا لم يستطع العملاء وضع البيانات الحساسة عن طريق الخطأ في مواقع غير مشفرة. تصميم المنتج وتوجيه العملاء والمسح والتحذيرات والضوابط الافتراضية كلها جزء من الإصلاح.

خامساً، يجب أن يثبت التحكم في الوصول والتقسيم. ادعت لجنة التجارة الفيدرالية إخفاقات في المراقبة والتقسيم والمصادقة متعددة العوامل وضوابط كلمة المرور وضوابط جدار الحماية والاختبار. الإصلاح الدائم سيظهر أقل امتياز ومصادقة أقوى وفصل بيئة ومراقبة الوصول المميز وسد الثغرات وتغطية السجلات وكشف تم اختباره.

سادساً، يجب أن يثبت استجابة الفدية دون الاعتماد على تأكيدات المهاجم. إذا ادعي تدمير البيانات المنسوخة، يجب على الشركة أن تذكر ما هي الأدلة التي تدعم هذا الادعاء وما عدم اليقين المتبقي. إذا تعذر التحقق من الحذف، لا ينبغي للإشعارات أن توحي بالتحقق. الدفع لا يلغي واجب الإخطار.

سابعاً، يجب أن يثبت حوكمة العميل. يجب أن يتلقى عملاء Blackbaud أدلة تساعدهم في تصحيح ممارساتهم الخاصة: استخدام الحقول الحساسة، ومخاطر المرفقات، وإعدادات الاحتفاظ، وخيارات التشفير، وصول السجل، وقوالب الإشعار الموصى بها. إصلاح البائع غير مكتمل إذا كان بإمكان العملاء إعادة إنشاء نفس أنماط الكشف داخل المنتج.

المساءلة تتبع السيطرة على الأدلة

التخصيص النهائي يتبع السيطرة العملية. سيطرت Blackbaud على البيئة المستضافة وبرنامج الأمان واستجابة الحوادث والموارد الطبية وإشعارات العملاء الأولى وأدلة اتصال المهاجم وبنية الاحتفاظ بالبيانات وضمانات المنتج وضوابط الإفصاح والتعاون مع الجهات التنظيمية. سيطر العملاء على خيارات التجميع واستخدام الحقول والإشعارات المحلية وعلاقات المكونين والحوكمة بعد الحادث. سيطرت الجهات التنظيمية على الإنفاذ. سيطر الأشخاص المتأثرون فقط على مجموعة صغيرة من الإجراءات الوقائية بعد أن تلقوا معلومات كافية للعمل.

هذا التخصيص لا يتطلب اتهامات غير مدعومة. لا يقول أن كل سجل مكشوف أسئ استخدامه. لا يقول أن كل عميل تعامل مع البيانات بشكل سيء. لا يقول أن كل ضمان لاحق فشل. يقول أن الطرف الذي لديه بوابة الأدلة كان لديه أعلى واجب لنقل الحقائق الدقيقة بسرعة. سجلات هيئة الأوراق المالية ولجنة التجارة الفيدرالية والولاية والعملاء والسجلات العامة كلها تشير إلى تلك البوابة.

تظل قضية Blackbaud مهمة لأنها تظهر تكلفة خفية للتركيز السحابي غير الربحي. يمكن للمؤسسات ذات المهام تجميع البيانات التشغيلية داخل بائع متخصص وكسب الكفاءة. ولكن عندما يتم اختراق البائع، يصبح المانحون والخريجون والمرضى والطلاب والداعمون مجموعة ضرر موزعة. إنهم ليسوا فقط عملاء مؤسسة خيرية. إنهم أصحاب بيانات في نظام بائع قد لا يعرفون بوجوده.

الدرس الدائم بسيط وصعب: يجب على مزود السحابة للقطاع الاجتماعي أن يكون قادراً على إثبات ما يحمله، وما نُسخ، وما كان مشفراً، وما احتُفظ به دون داع، وما قيل للعملاء، وما تغير عندما ظهرت حقائق جديدة، وما هي الضمانات التي تمنع التكرار. بدون هذا الدليل، يصبح إشعار بيانات المؤسسات الخيرية تمريناً في الثقة المستعارة. مع هذا الدليل، يمكن للعملاء تحويل حادثة البائع إلى اتصال دقيق وفي الوقت المناسب ومسؤول بدلاً من طمأنة عامة.