ملخص
- تقارير اختراق نظام البريد الإلكتروني لشركة Deloitte في عام 2017 أصبحت اختبارًا للمساءلة في إشعار بيانات العملاء لأن التقارير العامة ذكرت أن المهاجمين تمكنوا من الوصول إلى منصة البريد الإلكتروني لشركة Deloitte التي تحتوي على اتصالات ومرفقات العملاء، بينما صرحت Deloitte أن عددًا قليلاً جدًا من العملاء تأثروا ولم يحدث أي تعطيل للأعمال.
- من كان لديه السيطرة العملية على الوصول المميز إلى البريد الإلكتروني، ومصادقة المسؤول، ونطاق بيانات العملاء، وإخطار الأطراف المتأثرة، وأدلة المراجعة، وإثبات أن سرية الخدمات المهنية نجت من الاختراق؟
- قضية المساءلة هي أن شركات الخدمات المهنية تحول ضوابط البريد الإلكتروني الداخلية إلى ضوابط سرية العملاء عندما تتدفق الاتصالات المنظمة والاستراتيجية والتجارية عبر أنظمة البريد الإلكتروني المشتركة.
- العملاء والمدققون والمنظمون والشركاء والموظفون وفرق المشتريات ومراجعو الأمن يحتاجون إلى أدلة على أن المواد المكشوفة ومجموعة الإخطار وخطوات الإصلاح كانت محدودة بحقائق قابلة للتحقق.
- تتعامل هذه المقالة مع تقارير Guardian علىhttps://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emailsوhttps://www.theguardian.com/business/2017/oct/10/deloitte-hack-hit-server-containing-emails-from-across-us-governmentكتقارير عامة مركزية، وKrebsOnSecurity علىhttps://krebsonsecurity.com/2017/09/source-deloitte-breach-affected-all-company-email-admin-accounts/وتقارير Reuters المعاد نشرها علىhttps://uk.finance.yahoo.com/news/deloitte-hacked-says-very-few-clients-affected-052609557--sector.htmlكسجلات عامة إضافية، ومواد NIST وCISA وMicrosoft وICO وCompanies House كسياق تحكم أو سياق كيان وليس كدليل على القطع الأثرية الجنائية الخاصة بـ Deloitte.
لماذا تنتمي هذه القضية إلى ملف المخاطر والمساءلة
تنتمي Deloitte إلى ملف المخاطر والمساءلة لأن الحادثة وضعت ثقة الخدمات المهنية داخل مشكلة إدارة البريد الإلكتروني. كان السؤال الفني المباشر هو كيف تمكن المهاجمون من الوصول إلى المنصة. كان سؤال المساءلة أوسع: ما إذا كانت الشركة التي تحتفظ باتصالات العملاء السرية ومواد المراجعة ووثائق الاستراتيجية وسجلات الصفقات ومخططات الأمن والبيانات المنظمة والمشورة المميزة يمكنها إثبات ما تم كشفه عند اختراق بيئة البريد الإلكتروني المشتركة.
ذكر تقرير Guardian الأولي علىhttps://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emailsأن المهاجمين ربما تمكنوا من الوصول إلى رسائل البريد الإلكتروني السرية للعملاء والبيانات ذات الصلة. ذكر تقريره المتابع علىhttps://www.theguardian.com/business/2017/oct/10/deloitte-hack-hit-server-containing-emails-from-across-us-governmentأن خادمًا يحتوي على رسائل بريد إلكتروني مرتبطة بعدد أكبر من العملاء، بما في ذلك مواد حكومية، وأن مصادر شككت في ضيق الموقف العام لـ Deloitte. ذكر KrebsOnSecurity علىhttps://krebsonsecurity.com/2017/09/source-deloitte-breach-affected-all-company-email-admin-accounts/أن Deloitte اعترفت بالوصول غير المصرح به إلى منصة البريد الإلكتروني وقالت إن عددًا قليلاً جدًا من العملاء تأثروا، بينما ادعى مصدر قريب من التحقيق حدوث اختراق أوسع. ذكر SC Media علىhttps://www.scworld.com/news/no-accounting-for-this-deloittes-email-server-reportedly-breachedأن Deloitte قالت إن المراجعة اكتملت، وأن عددًا قليلاً من العملاء تأثروا، ولم يحدث أي تعطيل لأعمال العميل، وتم الاتصال بالشركات المتضررة.
لا تمنح هذه المصادر الجمهور سجلاً جنائيًا كاملاً. إنها تظهر صراعًا شائعًا بعد اختراقات المؤسسات عالية الثقة. تقول المنظمة إن السكان المتأثرين محدودون. يشكك الصحفيون والمصادر في ما إذا كانت الحدود ضيقة كما هو موصوف. يُترك العملاء ليتساءلوا عما إذا كانوا خارج السكان المتأثرين لأن الأدلة الجنائية تثبت ذلك، أو لأن البيان العام يستخدم تعريفًا لـ "المتأثر" لا يتوافق مع مخاطرهم الخاصة. هذه هي مشكلة المساءلة.
تهم القضية لأن البريد الإلكتروني ليس أداة مكتب خلفي منخفضة الحساسية في شركة الخدمات المهنية. إنه مستودع بيانات العملاء، ونظام سير العمل، وسجل قانوني، وقناة توصيل، وأثر أدلة، وسطح موافقة، وأرشيف للسياق المميز. قد يصبح حساب مسؤول واحد، إذا كان يمكنه الوصول إلى العديد من صناديق البريد أو وظائف الإدارة، فشلًا في السرية عبر العديد من علاقات العملاء. القضية ليست فقط ما إذا كانت البيانات الشخصية قد تعرضت. إنها ما إذا كانت أسرار العملاء والاستراتيجية ومناقشات المراجعة وتصميمات الأمن واتصالات المنظمين وبيانات الاعتماد والمخططات والمرفقات قابلة للوصول.
لذا فإن السؤال القابل للمساءلة عملي: من كان لديه السيطرة العملية على الوصول المميز إلى البريد الإلكتروني، ومصادقة المسؤول، ونطاق بيانات العملاء، وإخطار الأطراف المتأثرة، وأدلة المراجعة، وإثبات أن سرية الخدمات المهنية نجت من الاختراق؟ هذا السؤال يتبع السيطرة، وليس السمعة. لم يتمكن عملاء Deloitte من فحص منصة البريد الإلكتروني المخترقة في الوقت الفعلي. كان عليهم الاعتماد على نطاق Deloitte وإخطاراتها وتأكيداتها اللاحقة. الشركة الأقرب إلى السجلات والامتيازات وجرد صندوق البريد وتكوين المستأجر السحابي وعملية المراجعة كان لديها أقوى التزام بالأدلة.
يصبح البريد الإلكتروني الداخلي بنية تحتية للعميل عندما تتدفق الأعمال السرية عبره
يمكن لعبارة "اختراق البريد الإلكتروني" أن تجعل القضية تبدو أصغر مما هي عليه. في شركة مثل Deloitte، البريد الإلكتروني هو أتمتة برمجيات المؤسسات للعمل المهني. تتبادل فرق المشاركة المسودات والموافقات والطلبات والمرفقات وجداول البيانات وأدلة المراجعة والمخططات المعمارية والتعليقات القانونية ومواد الصفقات والمواقف الضريبية وتقييمات الأمن السيبراني وقرارات التوظيف وتعليمات العملاء. حتى عندما يتم تخزين التسليم النهائي في نظام مستندات، غالبًا ما تسافر المحادثة التي تعطيه المعنى عبر صناديق البريد.
هذا يجعل مستوى التحكم واسعًا. يمكن أن يؤدي وصول المسؤول إلى البريد الإلكتروني إلى كشف ليس فقط الرسائل ولكن أيضًا التفويض وقواعد إعادة التوجيه والبحث في صندوق البريد والاحتفاظ وسجلات التدقيق ووظائف الاكتشاف الإلكتروني والوصول إلى الأرشيف والإعدادات على مستوى المستأجر. إذا لم تكن هذه الوظائف مقسمة بإحكام ومراقبة، يمكن أن يصبح اختراق حساب مميز واحد اختراقًا للعديد من حدود سرية العملاء. قد تمتلك شركة الخدمات المهنية نظام البريد، لكن العملاء يمتلكون الكثير من الحساسية المحمولة داخله.
ذكرت CBS News علىhttps://www.cbsnews.com/news/deloitte-cyber-attack-reportedly-hit-corporate-government-clients/أن Deloitte قالت إن عددًا قليلاً جدًا من العملاء تأثروا وأنه لم يحدث أي تعطيل، بينما وصفت التقارير العامة حساب مسؤول ونقص المصادقة الثنائية. ذكرت Sky News علىhttps://news.sky.com/story/global-accountancy-firm-deloitte-admits-cyber-attack-11053136أن Deloitte اعترفت بأن المهاجمين تمكنوا من الوصول إلى البيانات المحتفظ بها على منصة البريد الإلكتروني وأبلغوا العملاء المتأثرين. تعامل تقرير Financial Times علىhttps://www.ft.com/content/1a69d936-a1fa-11e7-9e4f-7f5e6a7c98a2?syn-25a6b1a6=1مع الحادثة كاختراق كبير للخدمات المهنية. هذه السجلات كافية لإظهار الجدل العام حتى لو لم تكشف عن مراجعة السجل الخاص.
لا يتم حل مشكلة بيانات العميل بالقول إن عددًا صغيرًا فقط من العملاء "تأثروا" ما لم يكن التعريف واضحًا. قد يهتم العميل بما إذا كان بريده الإلكتروني قد تم الوصول إليه، وما إذا كانت مرفقاته قابلة للوصول، وما إذا كانت بياناته قد تم البحث فيها، وما إذا كانت بيانات الاعتماد أو المخططات موجودة، وما إذا كانت الرسائل قد تم استخراجها، وما إذا كانت المواد القانونية المميزة قد تمت مراجعتها، وما إذا كانت البيانات الشخصية للموظفين موجودة، وما إذا كان المهاجم لديه القدرة على إنشاء قواعد البريد أو الاستمرار. قد ينتج عن كل سؤال مجموعة متأثرة مختلفة.
سرية الخدمات المهنية لها أيضًا بعد سمعة. تقدم Deloitte وشركاتها النظيرة المشورة للعملاء بشأن المخاطر السيبرانية والضوابط والمراجعة والامتثال والتحول. لذلك يخلق الاختراق في بيئة البريد الإلكتروني الخاصة بالشركة قضية مساءلة من الدرجة الثانية: ما إذا كانت الضوابط الداخلية للشركة تتطابق مع انضباط الضوابط الذي تبيعه. يجب ألا تحل هذه القضية السمعة محل الحقائق الجنائية. إنها تفسر لماذا كان العملاء والمراقبون قلقين بشكل خاص بشأن مصادقة المسؤول والتأخير في الكشف العام.
الوصول المميز هو محور القضية
ركزت التقارير العامة مرارًا على الوصول المميز. ذكرت Guardian أن المهاجمين تمكنوا من الوصول إلى خادم بريد إلكتروني عالمي من خلال حساب مسؤول وأن الحساب كان يفتقر إلى التحقق بخطوتين. ذكر KrebsOnSecurity مزاعم حول حسابات المسؤول ونظام البريد الإلكتروني الأوسع، بينما نشر أيضًا بيان Deloitte بأن عددًا قليلاً جدًا من العملاء تأثروا وأن المراجعة حددت ما هو في خطر وما فعله المهاجم. ذكر CyberScoop علىhttps://cyberscoop.com/deloitte-breach-2017/أن الاختراق تضمن حسابًا مميزًا غير محمي بالمصادقة الثنائية. ذكر TechTarget علىhttps://www.techtarget.com/searchsecurity/news/450427269/Deloitte-hack-compromised-sensitive-emails-client-dataأن الحادثة أثارت تساؤلات حول بيانات العملاء ووصول المسؤول والإخطار.
التكوين الخاص الدقيق ليس عامًا. مبدأ المساءلة واضح على أي حال. تتطلب الحسابات المميزة مصادقة أقوى، وتفويضًا أضيق، وفصلًا بين المهام، والوصول المشروط، والمراقبة، والتعطيل الطارئ أكثر من حسابات المستخدمين العادية. يجب ألا تكون واسعة وهادئة وسهلة الاستخدام من أماكن غير متوقعة. إذا كان حساب واحد يمكنه إدارة بيئة بريد كبيرة، فإن اختراق هذا الحساب يخلق حدثًا لسرية العميل، وليس مجرد مشكلة مكتب مساعدة تقنية.
سياق التحكم موثق الآن على نطاق واسع. يقول إرشاد CISA للشركات الصغيرة والمتوسطة علىhttps://www.cisa.gov/audiences/small-and-medium-businesses/secure-your-business/require-multifactor-authenticationإن المنظمات يجب أن تطلب المصادقة متعددة العوامل للوصول عن بعد والوصول المميز أو الإداري. ورقة حقائق CISA حول MFA المقاوم للتصيد علىhttps://www.cisa.gov/sites/default/files/publications/fact-sheet-implementing-phishing-resistant-mfa-508c.pdfتحث على أشكال أقوى من MFA للبريد الإلكتروني ومشاركة الملفات والوصول إلى الحسابات المالية. يحدد إرشاد NIST الحالي للهوية الرقمية علىhttps://csrc.nist.gov/pubs/sp/800/63/b/4/finalمتطلبات ضمان المصادقة. يصف نظرة عامة على MFA من Microsoft Entra علىhttps://learn.microsoft.com/en-us/entra/identity/authentication/concept-mfa-howitworksMFA على أنها تتطلب شكلاً إضافيًا من التحديد أثناء تسجيل الدخول. هذه المصادر لاحقة أو عامة؛ لا تثبت ضوابط Deloitte لعام 2017. إنها تشرح لماذا سيكون حساب المسؤول بدون MFA قوي مصدر قلق تحكم واضح.
يتطلب الوصول المميز أيضًا التسجيل. لا يكفي طلب عامل ثانٍ إذا كانت إجراءات المسؤول غير مرئية وقابلة للبحث ومحفوظة. يجب أن تسجل منصة صندوق البريد عمليات تسجيل الدخول الإدارية، وعمليات البحث في صندوق البريد، وتغييرات الأذونات، وقواعد إعادة التوجيه، وإجراءات الاكتشاف الإلكتروني، وتسجيلات التطبيق، وإصدار الرموز، والوصول إلى سجل التدقيق، والتنزيلات الشاذة. بدون هذا السجل، يصبح النطاق تخمينًا. يمكن للشركة أن تقول إنها تعتقد أن مجموعة صغيرة فقط من العملاء تأثرت، لكن العملاء بحاجة إلى معرفة ما إذا كان هذا الاعتقاد مدعومًا بالسجلات أم بغياب الأدلة.
لذا فإن القضية تتعلق بإثبات الحقائق السلبية. هل لم يصل المهاجم إلى صندوق بريد العميل؟ هل لم يقم المهاجم بتنزيل المرفقات؟ هل لم ينشئ المهاجم استمرارًا؟ هل لم يحصل المهاجم على بيانات الاعتماد أو المخططات؟ لإثبات هذه السلبيات، تحتاج الشركة إلى سجلات كاملة، واحتفاظ متسق، وطوابع زمنية موثوقة، وأذونات إدارية معروفة، وطريقة إعادة بناء. إذا كانت السجلات غير كاملة، قد تكون الإجابة الصادقة هي أنه لا يمكن إثبات النطاق بثقة. هذه الإجابة مؤلمة، لكنها أكثر مساءلة من تحويل عدم اليقين إلى طمأنة.
إخطار العميل يعتمد على النطاق، وليس الثقة العامة
ذكرت تقارير أن Deloitte اتصلت بالعملاء المتأثرين. ذكر تقرير Reuters المعاد نشره علىhttps://uk.finance.yahoo.com/news/deloitte-hacked-says-very-few-clients-affected-052609557--sector.htmlأن Deloitte كانت ضحية هجوم إلكتروني أثر على عدد صغير من العملاء وأن المهاجمين تمكنوا من الوصول إلى البيانات من منصة البريد الإلكتروني. ذكرت Sky News وSC Media مواقف شركة مماثلة. ذكرت Guardian وKrebsOnSecurity أن المصادر تعتقد أن البيئة المتأثرة أو التعرض المحتمل كان أوسع. لا يمكن للجمهور حل هذا الصراع دون الأدلة الأساسية.
تبدأ مساءلة الإخطار بالتعريفات. يمكن أن يكون العميل "متأثرًا" لأنه تم الوصول إلى بياناته، لأن بياناته كانت قابلة للوصول، لأن بياناته كانت في صندوق بريد تم البحث فيه، لأن بياناته كانت في نفس المستأجر مثل امتيازات المسؤول المخترقة، لأن بيانات اعتماده كانت موجودة، لأن بياناته المنظمة كانت موجودة، أو لأن فريق مشاركته كان جزءًا من سير عمل متأثر. قد يفي تعريف الإخطار الضيق بحد قانوني واحد لكنه يفشل في تلبية احتياجات المخاطر التشغيلية للعميل. قد يخلق تعريف واسع إنذارًا لكنه يعطي العملاء معلومات كافية لحماية أنفسهم.
تعتمد الإجابة الصحيحة على الأدلة. إذا أظهرت السجلات أن المهاجم تمكن من الوصول إلى صناديق بريد محددة ورسائل محددة، يمكن استهداف الإخطارات. إذا أظهرت السجلات وصولاً على مستوى المسؤول لكن لا يمكنها إثبات ما تم عرضه، قد يحتاج السكان المتأثرون إلى أن يكونوا أوسع. إذا كان المهاجم لديه قدرات الاكتشاف الإلكتروني أو البحث، يجب أن يأخذ النطاق في الاعتبار عمليات البحث عبر صناديق البريد. إذا تضمنت المرفقات بيانات شخصية منظمة، قد تنطبق قواعد حماية البيانات. إذا كانت أسرار العميل أو مخططات الأمن موجودة، قد يحتاج العملاء إلى تدوير بيانات الاعتماد، أو مراجعة الضوابط، أو الإبلاغ إلى المنظمين الخاصين بهم.
دليل أمن البيانات لمكتب مفوضي المعلومات في المملكة المتحدة علىhttps://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/security/a-guide-to-data-security/هو لاحق لتقارير 2017 وينتمي إلى عصر اللائحة العامة لحماية البيانات في المملكة المتحدة، لذا لا ينبغي التعامل معه كنتيجة إنفاذ مباشرة لعام 2017. لا يزال مفيدًا لأنه يذكر مبدأ الأمن العام أن البيانات الشخصية يجب حمايتها من خلال التدابير التقنية والتنظيمية المناسبة. صفحة مبادئ حماية البيانات في ICO علىhttps://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/data-protection-principles/a-guide-to-the-data-protection-principles/تؤطر أيضًا المساءلة والنزاهة والسرية كأفكار أساسية لحماية البيانات. في شبكة خدمات مهنية عالمية، تلك المبادئ تنطبق على توقعات العميل حتى عندما تختلف الأنظمة القانونية المحددة.
يجب أن يتعامل إخطار العميل أيضًا مع السيادة والمحلية. وصفت تقارير Guardian بيئة بريد قائمة على السحابة لـ Microsoft وسياق تحقيق يركز على الولايات المتحدة. قد تحتوي شركة عالمية على بيانات حول العملاء والحكومات والأفراد عبر jurisdictions في منصة بريد مشتركة. يحتاج العملاء إلى معرفة أين تم تخزين بياناتهم، أي كيان قانوني سيطر عليها، أي شركة عضو في Deloitte كانت متورطة، أي المنظمين تم إخطارهم، وما إذا كان الوصول أو المعالجة عبر الحدود غيرت المخاطر. "منصة البريد الإلكتروني" ليست إجابة قضائية. إنها فئة تقنية يجب أن تُربط بموقع البيانات وأدوار المتحكم أو المعالج.
سجل Companies House لشركة Deloitte LLP علىhttps://find-and-update.company-information.service.gov.uk/company/OC303675هو سياق كيان أساسي، وليس دليل حادث. إنه مهم لأن شبكات الخدمات المهنية غالبًا ما تشمل كيانات قانونية متعددة وشركات أعضاء. العميل الذي يشتري خدمات من كيان Deloitte واحد قد يحتاج إلى معرفة أي كيان سيطر على المنصة المتأثرة، أي كيان لديه العقد، وأي كيان أصدر الإخطارات. تصبح المساءلة أضعف عندما تكون العلامة التجارية العالمية موجهة للجمهور ولكن أدلة الحادث مجزأة عبر الكيانات القانونية والجغرافيات وخطوط الخدمة.
البريد الإلكتروني السحابي لا يستعين بمصادر خارجية للسرية
وصفت التقارير العامة المنصة المتأثرة بأنها مستضافة على السحابة. لا ينبغي أن يصبح هذا التفصيل إلهاءً. قد يوفر مزود السحابة الهوية والتسجيل والأمن وأدوات المنصة، لكن شركة الخدمات المهنية تظل مسؤولة عن كيفية تكوين حسابات المسؤول وامتيازات المستأجر والوصول المشروط وأذونات صندوق البريد والاحتفاظ بالتدقيق وسير عمل بيانات العميل. يمكن للسحابة تحسين أدلة التحكم إذا تم تكوينها جيدًا. يمكنها أيضًا تركيز الضرر إذا كان حساب مميز يتمتع بنطاق واسع ومصادقة ضعيفة.
وثائق Microsoft Entra MFA علىhttps://learn.microsoft.com/en-us/entra/identity/authentication/concept-mfa-howitworksمفيدة لأنها تظهر أن منصات الهوية السحابية الحديثة لديها مفاهيم MFA أصلية. إرشاد Microsoft ذو الصلة حول طلب MFA للمسؤولين علىhttps://learn.microsoft.com/en-us/entra/identity/conditional-access/policy-old-require-mfa-adminيصف أنماط الوصول المشروط للأدوار الإدارية. لا تستخدم هذه المقالة تلك الصفحات للتأكيد على الخيارات التي مكنتها Deloitte في عام 2017. إنها تستخدمها لتأطير قضية التحكم: وصول المسؤول إلى بيئة البريد الإلكتروني السحابي هو سطح هوية عالي المخاطر يجب تقويته ومراقبته ومراجعته.
يغير البريد الإلكتروني السحابي أيضًا توقعات الأدلة. في الأنظمة المحلية القديمة، قد تكون السجلات مجزأة عبر الخوادم والأجهزة. في الأنظمة السحابية، يمكن لسجلات التدقيق والهوية وصندوق البريد والإدارة المركزية دعم إعادة بناء أفضل، ولكن فقط إذا تم تمكين التسجيل والاحتفاظ به وحمايته من العبث. يجب أن تكون مراجعة ما بعد الاختراق قادرة على إظهار مصادر تسجيل الدخول والإجراءات الإدارية وأحداث الوصول إلى صندوق البريد ونشاط الرمز وموافقة التطبيق وتغييرات إعادة التوجيه وأنماط تنزيل البيانات. إذا لم تستطع الشركة إظهار هذه السجلات، فإن المنصة السحابية لم تقدم المساءلة.
هناك أيضًا مشكلة الأتمتة. تقوم منصات البريد الإلكتروني للمؤسسات بأتمتة الاحتفاظ والاكتشاف والتصنيف وإعادة التوجيه والتفويض وترحيل صندوق البريد والوصول عبر الهاتف المحمول وتكامل الطرف الثالث. يمكن لكل ميزة آلية إنشاء مسار للتعرض إذا تم اختراق الوصول المميز. على سبيل المثال، يمكن لقاعدة إعادة التوجيه إعادة توجيه البريد بصمت. يمكن لتسجيل التطبيق الحفاظ على الوصول بعد إعادة تعيين كلمة المرور. يمكن لبحث الاكتشاف الوصول إلى العديد من صناديق البريد. يمكن لأداة الترحيل نقل كميات كبيرة من البيانات. يجب أن تفحص مراجعة نطاق بيانات العميل حالة الأتمتة، وليس فقط عمليات تسجيل الدخول المباشرة إلى صندوق البريد.
يضخم سياق الخدمات المهنية القضية لأن عمل العميل متعدد المستأجرين في الممارسة حتى عندما تكون العقود منفصلة. قد يعمل شريك واحد عبر عدة عملاء. قد يحتوي صندوق بريد واحد على عدة مشاركات. قد يتضمن مرفق واحد بيانات من كيانات متعددة. قد يعبر بحث إداري واحد خطوط الخدمة. لذلك، من الصعب تحديد نطاق اختراق البريد الإلكتروني الداخلي بشكل نظيف. برنامج حوكمة بيانات قوي سيصنف مواد العميل الحساسة، ويحد من الاحتفاظ غير الضروري بالبريد الإلكتروني، ويفصل المشاركات عالية المخاطر، ويقيد امتيازات المسؤول الواسعة، ويحتفظ بالسجلات لفترة كافية لإعادة بناء التعرض.
تأخر الكشف والتأخير العام مختلفان لكن مرتبطان
ذكرت Guardian أن Deloitte اكتشفت الاختراق في مارس 2017 وأن المهاجمين ربما كان لديهم وصول منذ الخريف السابق. ظهرت التقارير العامة في سبتمبر 2017. هذه التواريخ تخلق سؤالين توقيت. أولاً، كم من الوقت كان للمهاجمين وصول عملي قبل الاكتشاف؟ ثانيًا، كم من الوقت انتظرت الأطراف المتأثرة والسوق الأوسع للمعرفة العامة؟ قد تختلف الإجابات. يمكن للشركة اكتشاف بشكل خاص وإخطار بعض العملاء دون الإعلان علنًا. قد يكون ذلك دفاعًا في بعض الحالات. لكن يجب أن تظهر الأدلة لماذا كان عدد السكان المتأثرين والتوقيت مناسبين.
تأخر الكشف هو مشكلة أتمتة أمنية. إذا قام حساب مسؤول بتسجيل الدخول من مواقع غير معتادة، أو أجرى عمليات بحث واسعة في صندوق البريد، أو وصل إلى صناديق بريد حساسة، أو أنشأ قواعد جديدة، أو قام بتنزيل كميات غير معتادة، يجب أن تولد المنصة تنبيهات. إذا تم إطلاق التنبيهات ولكن لم تتم معالجتها، المشكلة هي العمليات. إذا لم يتم إطلاق التنبيهات، المشكلة هي هندسة الكشف. إذا كانت السجلات مفقودة، المشكلة هي بنية الأدلة. في كل حالة، المسؤولية تتبع الوظيفة التي كانت تحت السيطرة العملية.
التأخير العام هو مشكلة كشف. قد تتجنب شركات الخدمات المهنية البيانات العامة لأسباب قانونية أو سرية العميل أو إنفاذ القانون أو التحقيق. لكن كلما طالت مدة بقاء سؤال رئيسي حول بيانات العميل غير معلن، زاد احتمال تساؤل العملاء الذين لم يتم إخطارهم عما إذا كانت مخاطرهم قد تم تقديرها بأقل من قيمتها. كان الموقف المبلغ عنه لـ Deloitte هو أن عددًا قليلاً جدًا من العملاء تأثروا وأن هؤلاء العملاء قد تم إبلاغهم. تحدت تقارير Guardian وKrebs ما إذا كان النطاق ضيقًا كما تم تقديمه. بدون معايير الإخطار الأساسية، لا يمكن للغرباء تقييم كفاية التأخير.
الممارسة المسؤولة هي الاحتفاظ بسجل لقرار الكشف. يجب أن يظهر هذا السجل متى تم اكتشاف الحادث، ومتى تم تقدير الجدول الزمني للمهاجم، ومتى تمت مراجعة السجلات، ومتى تم تحديد العملاء المحتمل تأثرهم، ومتى تم استشارة المستشارين والمنظمين، ومتى تم إرسال الإخطارات، ومتى تمت الموافقة على البيان العام، وما هو تعريف العميل المتأثر المستخدم. إذا غيرت الأدلة اللاحقة النطاق، يجب أن يظهر السجل كيف قامت الشركة بتحديث الإخطارات.
هذا هو المكان الذي يجب أن تساعد فيه ثقافة المراجعة. Deloitte هي شبكة مراجعة واستشارات. تتفهم الأدلة وأخذ العينات وتصميم التحكم وتقييم المخاطر وتمثيل الإدارة. يجب توثيق اختراق بيانات العميل بنفس الانضباط: النطاق، المعايير، الأدلة، الاستثناءات، عدم اليقين، المراجعة، التوقيع، والإصلاح. السؤال غير المريح هو ما إذا كان ملف الحادث الداخلي للشركة قد استوفى معيار الأدلة الذي تتوقعه من عميل يواجه اختراقًا مماثلاً.
سرية الخدمات المهنية تتطلب تقليل البيانات
أسهل طريقة لتقليل تأثير اختراق البريد الإلكتروني هي الاحتفاظ بمواد أقل حساسية في البريد الإلكتروني. هذا ليس عمليًا دائمًا. العمل المهني يتحرك بسرعة، ويظل البريد الإلكتروني طبقة اتصال عالمية. لكن يجب على شركة الخدمات المهنية التعامل مع البريد الإلكتروني كمنطقة تخزين عالية المخاطر، وليس كخزنة عملاء دائمة. يمكن لتقليل البيانات وقواعد الاحتفاظ وضوابط المرفقات الحساسة والتشفير وإدارة الحقوق والبوابات الآمنة والمستودعات المصنفة أن تقلل من نصف قطر انفجار اختراق حساب المسؤول.
ذكرت تقارير Guardian احتمال تعرض أسماء المستخدمين وكلمات المرور وعناوين IP والمخططات المعمارية والمعلومات الصحية. لا تتحقق هذه المقالة بشكل مستقل من كل عنصر. إنها تتعامل مع تلك التقارير كمطالبات عامة توضح لماذا يصنيف البيانات مهم. إذا كان البريد الإلكتروني يحتوي على بيانات اعتماد أو مخططات أمنية، يمكن أن يصبح الاختراق حادث أمني للعميل. إذا كان يحتوي على بيانات صحية أو شخصية، يمكن أن يصبح حادث خصوصية. إذا كان يحتوي على مواد حكومية أو قطاع منظم، يمكن أن يصبح حادث سيادة ومشتريات. إذا كان يحتوي على أدلة مراجعة، يمكن أن يؤثر على الثقة في العمل المهني.
تقليل البيانات صعب لأن شركات الخدمات المهنية غالبًا ما تحتفظ بالاتصالات للدفاع. قد تحتاج إلى سجلات لأغراض المراجعة أو القانونية أو الجودة أو التنظيمية أو خدمة العملاء. ليس الحل هو مسح الأدلة. إنه تخزين السجلات الحساسة في أنظمة حيث الوصول محدود بالغرض، ومسجل، ومحفوظ بموجب سياسة واضحة، وقابل للفصل حسب المشاركة. لا ينبغي أن يكون البريد الإلكتروني الأرشيف الافتراضي لكل ما يهتم به العملاء أكثر.
هذه أيضًا قضية أتمتة برمجيات المؤسسات. تعتمد شركات الخدمات المهنية الحديثة على منصات سير العمل وأنظمة إدارة المستندات وبوابات العملاء وموفري الهوية والتذاكر وغرف البيانات وأدوات التعاون. إذا كانت تلك الأنظمة مصممة جيدًا، فإنها تقلل الاعتماد على البريد الإلكتروني وتحسن أدلة الوصول. إذا كانت سيئة التكامل، يستخدم الموظفون البريد الإلكتروني كطبقة سير عمل غير رسمية لأنه أسرع. يجب أن يلبي تصميم الأمن العمل حيث يحدث بالفعل. وإلا تقول السياسة إن البيانات الحساسة تنتمي إلى مستودعات خاضعة للرقابة بينما يتركها الواقع في صناديق البريد.
يجب أن تدعم أتمتة الأمن هذا الانضباط. كل منع فقدان البيانات وتصنيف الحساسية وتدقيق صندوق البريد وإدارة الوصول المميز والوصول المشروط واكتشاف السفر المستحيل وتدقيق الاكتشاف الإلكتروني وتصنيف الاحتفاظ ومعالجة التنبيهات الآلية مهمة. لكن الأتمتة تخلق المساءلة فقط عندما يمتلك شخص ما الاستثناءات. تصنيف يتجاهله المستخدمون، أو قائمة انتظار تنبيهات لا يراجعها أحد، أو سير عمل وصول مميز يوافق على الطلبات بشكل روتيني لا يحمي العملاء. إنه ينتج وثائق دون تحكم.
حدود الأدلة مهمة لأن السجل العام متنازع عليه
سجل Deloitte أكثر تنازعًا من بعض سجلات الحوادث. نشرت Guardian وKrebsOnSecurity مزاعم قائمة على مصادر حول تعرض أوسع. قال البيان المبلغ عنه لـ Deloitte إن المراجعة اكتملت، وأن عددًا قليلاً جدًا من العملاء تأثروا، ولم يحدث أي تعطيل لأعمال العملاء، أو لقدرة Deloitte على خدمة العملاء، أو للمستهلكين. ساهمت SC Media وSky News وCBS News وYahoo Finance (إعادة نشر Reuters) وCyberScoop وTechTarget وAccountingWEB علىhttps://www.accountingweb.co.uk/practice/general-practice/deloitte-hit-by-major-client-email-hackوInfosecurity Magazine علىhttps://www.infosecurity-magazine.com/news/deloitte-hack-exposes-confidential/في الفهم العام، لكن لم يقدم أي منها الملف الجنائي الخاص الكامل.
هذا يعني أن المقال الصادق يجب أن يتجنب خطأين. الخطأ الأول هو التعامل مع الضمان العام الضيق لـ Deloitte كدليل كامل على عدم وجود خطر أوسع. الخطأ الثاني هو التعامل مع مزاعم المصادر غير المسماة كحقيقة جنائية مستقرة. تقع عدسة المساءلة بينهما. تسأل ما هي الأدلة التي كانت الشركة بحاجة لإنتاجها للعملاء والمنظمين للتمييز بين الوصول المؤكد، والوصول المحتمل، والبيانات المعرضة للخطر، والبيانات المأخوذة، والعملاء الذين تم إخطارهم، والعملاء الذين لم يتم إخطارهم لأن الأدلة أظهرت أنهم خارج النطاق.
تشمل الحقائق العامة المؤكدة أن Deloitte اعترفت بالوصول غير المصرح به إلى منصة البريد الإلكتروني في بيانات ذكرتها منافذ متعددة، وأن Guardian وغيرها ذكرت مخاوف وصول المسؤول وMFA، وأن Deloitte قالت إن عددًا قليلاً جدًا من العملاء تأثروا، وأنه تم الاتصال بالعملاء المتأثرين والسلطات حسب التقارير. تشمل المزاعم المبلغ عنها علنًا ولكن المتنازع عليها النطاق الكامل لمحتويات الخادم، وعدد العملاء الذين كانت موادهم موجودة، وما إذا كان مدى وصول المهاجم أوسع مما وصفته Deloitte علنًا. تشمل المجهولات السجلات الكاملة، وعدد السكان النهائي للإخطار، والوصول الدقيق إلى صندوق البريد والمرفقات، والإجراءات المميزة التي تم اتخاذها، وخطوات الإصلاح الكاملة.
يحتاج العملاء إلى تلك الفئات منفصلة. فريق مشتريات يقيم Deloitte بعد الحادثة لن يخدمه إجابة عامة بأن الأمر تم التعامل معه. سيحتاج إلى معرفة ما إذا كانت MFA الإدارية إلزامية، وما إذا كانت الأدوار المميزة مصغرة، وما إذا كانت سجلات تدقيق صندوق البريد محفوظة، وما إذا كانت سجلات العميل الحساسة منفصلة، وما إذا كانت فرق المشاركة تتلقى بدائل اتصال آمنة، وما إذا كانت إخطارات الحوادث تحكمها معايير مكتوبة، وما إذا كانت المراجعة المستقلة قد راجعت الإصلاح.
يجب أن يكون ضمان العميل قابلاً لإعادة التشغيل
أكثر ضمان مفيد بعد اختراق البريد الإلكتروني للخدمات المهنية هو القابلية لإعادة التشغيل. لا ينبغي للعميل أن يضطر لقبول استنتاج دون فهم الطريقة التي أنتجته. لا تحتاج الشركة إلى نشر كل اسم صندوق بريد أو رسالة. تحتاج إلى شرح كيف انتقلت من الأدلة الخام إلى قرارات الإخطار. ما هي السجلات التي تم جمعها؟ ما هي الإجراءات الإدارية التي تمت مراجعتها؟ ما هي صناديق البريد التي كانت ضمن النطاق؟ ما هي مصطلحات البحث، ونوافذ الوقت، ومعرفات العميل، ومستودعات المرفقات، وقواعد إعادة التوجيه، وأذونات التطبيق التي تم فحصها؟ ما هي الفجوات التي بقيت؟ من راجع المعايير؟ من وقع على عدد السكان المشمولين بالإخطار؟
الضمان القابل لإعادة التشغيل يختلف عن ملخص الحادث العام. يقول الملخص العام إن طرفًا غير مصرح له تمكن من الوصول إلى منصة البريد الإلكتروني وأن عددًا قليلاً جدًا من العملاء تأثروا. يظهر الضمان القابل لإعادة التشغيل مسار الأدلة: استخدم المهاجم هذه الحسابات، من هذه النوافذ الزمنية، بهذه الامتيازات؛ تم تأكيد الوصول إلى هذه الصناديق البريدية؛ كانت هذه الصناديق البريدية الأخرى قابلة للوصول ولكن لم يتم الوصول إليها وفقًا للسجلات المحفوظة؛ احتوت هذه المرفقات على هذه الفئات من البيانات؛ تم إخطار هؤلاء العملاء لأن المعايير تطابقت؛ تم استبعاد هؤلاء العملاء لأن الأدلة دعمت الاستبعاد. كلما كانت المشاركة أكثر حساسية، زادت أهمية هذا التمييز.
هذا مهم لأن عملاء الخدمات المهنية قد يكون لديهم التزامات downstream خاصة بهم. بنك أو مستشفى أو وكالة حكومية أو شركة عامة أو مكتب محاماة أو بائع تكنولوجيا أو مرافق منظم أرسل مواد حساسة إلى Deloitte قد يحتاج إلى اتخاذ قرار بشأن إخطار المنظم الخاص به، أو تدوير بيانات الاعتماد، أو إبلاغ مجلس الإدارة، أو التحقيق في تعرض طرف ثالث، أو تحديث مخاطر المشتريات. لا يمكنه اتخاذ هذه القرارات من طمأنة على مستوى العلامة التجارية. يحتاج إلى فئات البيانات والأطر الزمنية والاحتمالية وتوجيهات العمل.
القابلية لإعادة التشغيل تحمي الشركة أيضًا. إذا استطاعت Deloitte أو أي شركة نظيرة إظهار أن عدد عملائها المشمولين بالإخطار جاء من مراجعة موثقة وقابلة للدفاع، فهي أقل عرضة للتكهن بأن النطاق تم اختياره لأسباب تتعلق بالسمعة. إذا كانت المراجعة تحتوي على عدم يقين، فإن تسمية ذلك عدم اليقين يمكن أن يكون ذا مصداقية. على سبيل المثال، يمكن للشركة أن تقول إن السجلات كانت كاملة لفترة وغير كاملة لأخرى، وأن الإخطارات تم توسيعها حيث لم تدعم الأدلة الاستبعاد. هذا أصعب من قول "تأثر عدد قليل من العملاء"، لكنه مساءلة أقوى.
يجب أيضًا تحديث حزمة الضمان بعد الإصلاح. يجب أن يتعلم العملاء ليس فقط ما حدث، ولكن ما تغير: MFA الإدارية، والوصول المشروط، وإدارة الوصول المميز، وتسجيل التدقيق، والاحتفاظ، وتصنيف الحساسية، والبوابات الآمنة، ومراقبة قواعد صندوق البريد، وحوكمة موافقة التطبيق، وإجراءات إخطار الحوادث. يجب أن تكون الأدلة محددة بما يكفي لفريق الأمن لدى العميل ليقرر ما إذا كان سيستمر في إرسال العمل الحساس عبر نفس القنوات أو يتطلب نموذج تعاون مختلف.
ما يجب أن يثبته الإصلاح الدائم
يجب أن يثبت الإصلاح الدائم بعد اختراق نظام البريد الإلكتروني تقوية الهوية أولاً. يجب حصر كل دور إداري، وتبريره، وحمايته بواسطة MFA قوي، ومراقبته، ومحدد زمنيًا حيثما أمكن. يجب إلغاء حسابات المسؤول المشتركة أو التحكم فيها بإحكام. يجب حماية حسابات Break-Glass بشكل منفصل وتسجيلها. يجب أن يقيم الوصول المشروط الموقع، ووضع الجهاز، والمخاطر، وحساسية الدور. يجب مراجعة الموافقة الإدارية والوصول إلى التطبيق لأن الاستمرار السحابي غالبًا ما ينجو من إعادة تعيين كلمة المرور البسيطة.
ثانيًا، يجب أن يثبت الإصلاح الدائم نطاق صندوق البريد. يجب أن تكون الشركة قادرة على إعادة بناء صناديق البريد التي تم الوصول إليها، أو البحث فيها، أو تفويضها، أو تصديرها، أو تغييرها. يجب أن تحدد المرفقات والمجلدات والنطاقات الزمنية المتأثرة. يجب مراجعة قواعد إعادة التوجيه، وقواعد علبة الوارد، وقواعد النقل، وعمليات البحث في الاكتشاف الإلكتروني، وأذونات صندوق البريد، وجلسات الهاتف المحمول، ورموز التطبيق. إذا كانت السجلات غير كاملة، يجب أن يقول سجل الإصلاح ذلك ويشرح كيف أثر عدم اليقين على إخطار العميل.
ثالثًا، يجب أن يثبت الإصلاح الدائم تصنيف بيانات العميل. يجب أن تعرف الشركة أي العملاء والمشاركات والولايات القضائية وفئات البيانات كانت موجودة في صناديق البريد المتأثرة. يتطلب ذلك فهرسة أفضل من الاعتماد على ذاكرة الموظف. يتطلب معرفات المشاركة، وملصقات الاحتفاظ، وملصقات الحساسية، وروابط المستودع الآمن، وخرائط البيانات. بدون تصنيف، يصبح الإخطار بطيئًا وذاتيًا.
رابعًا، يجب أن يثبت الإصلاح الدائم حوكمة الاتصالات. يجب أن تذكر الإخطارات للعملاء ما حدث، وما هي أنواع البيانات المتضمنة أو المحتملة، وما هي الأدلة التي تدعم النطاق، وما هو إجراء العميل الموصى به، وما فعلته الشركة، وما لا يزال غير معروف. يجب أن يتلقى المنظمون معلومات دقيقة وفي الوقت المناسب حيث تنطبق الحدود القانونية. يجب ألا تستخدم البيانات العامة طمأنة واسعة بطريقة تحجب عدم اليقين.
خامسًا، يجب أن يثبت الإصلاح الدائم المراقبة. يجب أن تظهر الشركة أن إجراءات صندوق البريد المميزة تولد تنبيهات، وأن التنبيهات تتم معالجتها بواسطة محللين مدربين، وأن الحوادث تُرفع إلى الفرق القانونية وفرق العملاء، وأن قواعد الكشف يتم اختبارها. يجب أن تظهر أتمتة الأمن نتائج: تقليل وقت الكشف، تقليل الامتياز الإداري الدائم، عدد أقل من المرفقات الحساسة غير المصنفة، ونطاق أسرع للعميل.
سادسًا، يجب أن يثبت الإصلاح الدائم الحوكمة على مستوى الشراكة وما يعادل مجلس الإدارة. شركات الخدمات المهنية لديها هياكل قيادية معقدة. يجب أن تحدد المساءلة من يملك مخاطر البريد الإلكتروني، ومن يملك سرية العملاء، ومن يملك حماية البيانات، ومن يملك العمليات السيبرانية، ومن يوافق على الإخطار العام، ومن يتحقق من الإصلاح. بدون مالكين محددين، يمكن أن تصبح السرية قيمة الجميع ولا يتحكم بها أحد.
البديل ليس عدم وجود بريد إلكتروني؛ إنه بريد إلكتروني محدود مع إدارة قابلة للإثبات
سيكون من غير الواقعي القول إن شركة الخدمات المهنية لا ينبغي أن تستخدم البريد الإلكتروني لعمل العميل. البديل الأفضل هو البريد الإلكتروني المحدود. لا يزال العمل الحساس يمكن أن يتضمن البريد الإلكتروني، لكن الوصول المميز يتم تقليله، ويتم نقل المواد عالية المخاطر إلى مستودعات خاضعة للرقابة، ويتم تصنيف بيانات العميل، ويتم تسجيل نشاط صندوق البريد، ويستخدم المسؤولون MFA قوي، ويتم مراقبة عمليات البحث الواسعة، ويتم حوكمة الاحتفاظ، ويمكن إجراء نطاق الحادث بسرعة.
يتضمن البديل أيضًا اختيار العميل. يجب أن يعرف العملاء ما إذا كانت مشاركاتهم الأكثر حساسية تتطلب بوابات آمنة، أو تشفيرًا، أو مستأجرين منفصلين، أو مساحات تعاون مخصصة، أو احتفاظًا أكثر صرامة. قد يقبل بعض العملاء البريد الإلكتروني العادي للاتصالات الروتينية. آخرون، خاصة العملاء الحكوميين والصحيين والماليين والقانونيين وعمليات الاندماج والأمن السيبراني والمنظمين، قد يحتاجون إلى ضوابط أقوى. لا ينبغي لشركة الخدمات المهنية أن تتخذ هذا الاختيار بصمت من خلال السماح لجميع العمل بالتدفق عبر نفس منصة البريد الواسعة.
يتضمن البديل نموذج إخطار أفضل. بدلاً من الاعتماد على الادعاءات العامة بأن عددًا قليلاً من العملاء تأثروا، يمكن للشركة إعطاء العملاء شرحًا منظمًا: تمكن المهاجم من الوصول إلى هذه الأنظمة، وتم مراجعة هذه السجلات، وتم تأكيد الوصول إلى هذه الصناديق البريدية، وكانت هذه الفئات من البيانات موجودة، ويتم إخطار هؤلاء العملاء لأن المعايير تطابقت، ولا يتم إخطار هؤلاء العملاء لأن الأدلة تستبعدهم، وتغيرت هذه الضوابط بعد الحادثة. هذا النموذج يحترم السرية مع إعطاء العملاء أدلة كافية لحوكمة مخاطرهم الخاصة.
أخيرًا، يتضمن البديل التواضع. الشركة التي تقدم المشورة للآخرين بشأن المخاطر يجب أن تعترف بأن أنظمتها يمكن أن تفشل ويجب أن تجعل أدلة الإصلاح مرئية لأصحاب المصلحة المناسبين. لا يتم استعادة الثقة بالسمعة وحدها. يتم استعادتها بسجل يمكن للعملاء فحصه، والمنظمين اختباره، والقادة الداخليين استخدامه لمنع التكرار.
المساءلة تتبع السيطرة على الوصول المميز والنطاق والإخطار
يجب أن يتبع التوزيع النهائي للمساءلة السيطرة العملية. سيطرت Deloitte على تكوين بيئة البريد الإلكتروني، وامتيازات المسؤول، ومتطلبات المصادقة، والتسجيل، والاحتفاظ، وتصنيف بيانات العملاء، ومراجعة الحوادث، وإخطارات العملاء، والبيانات العامة، والإصلاح. سيطر مزودو المنصة السحابية على ميزات المنصة والبنية التحتية، ولكن ليس على تصميم الامتياز للشركة أو استخدام بيانات العميل. سيطر العملاء على بعض الخيارات حول ما أرسلوه، لكنهم لم يتحكموا في إدارة صندوق بريد Deloitte. سيطر الصحفيون على السرد العام فقط بعد أن تم بالفعل اتخاذ خيارات الأدلة والإخطار الخاصة بالشركة.
هذا التوزيع لا يتطلب افتراض أسوأ نسخة من كل ادعاء مصدر. يتطلب الاعتراف بأن عبء الإثبات يقع على عاتق الشركة التي لديها إمكانية الوصول إلى السجلات وسجلات العملاء. إذا كان عدد قليل جدًا من العملاء تأثروا، يجب أن تكون الشركة قادرة على إظهار منطق النطاق بشكل خاص. إذا كان الوصول الأوسع ممكنًا ولكن لم يثبت، يجب أن تقول الشركة كيف تم التعامل مع عدم اليقين. إذا كانت MFA الإدارية غائبة أو غير كافية، يجب أن يجعل الإصلاح الوصول المميز أصعب هيكليًا للاختراق. إذا كان البريد الإلكتروني يحتوي على مواد عميل حساسة، يجب أن تقلل حوكمة البيانات من نصف قطر انفجار صندوق البريد في المستقبل.
يظل اختراق نظام البريد الإلكتروني لشركة Deloitte في عام 2017 مهمًا لأنه جمع العديد من مخاطر المؤسسات الحديثة في حالة واحدة: إدارة البريد الإلكتروني السحابي، والوصول المميز، والسرية المهنية، وبيانات العميل عبر الحدود، والمعرفة العامة المتأخرة، ونطاق الإخطار المتنازع عليه. الحادثة ليست مجرد قصة عن حساب واحد أو منصة واحدة. إنها تذكير بأن أنظمة الاتصالات الداخلية تصبح بنية تحتية للعميل عندما يعهد العملاء بأعمالهم الأكثر حساسية إلى شركة خدمات مهنية.
الدرس الدائم هو أن إخطار بيانات العميل يجب أن يستند إلى الأدلة. الشركة لا تستعيد الثقة بالقول إن عددًا قليلاً من العملاء تأثروا. إنها تستعيد الثقة بإثبات كيف تعرف، وإخبار العملاء المناسبين بالسرعة الكافية للتصرف، وإصلاح الضوابط التي جعلت السؤال صعب الإجابة.

