ملخص
- أعلنت Apache عن ثغرة أمنية حرجة في Struts ووفرت إصدارات مصححة في 7 مارس 2017. قامت Equifax بتعميم تعليمات التصحيح خلال 48 ساعة، لكن بقيت بوابة النزاع عبر الإنترنت عرضة للخطر لأن الشركة لم تكن تمتلك جردًا موثوقًا، ولم تصل إلى مالك التطبيق المناسب أو تلزمه، وعالجت مسحًا ضيق النطاق كدليل على غياب التعرض.
- بمجرد دخول المهاجمين عبر البوابة، أدى ضعف التقسيم، وبيانات الاعتماد القابلة للاستخدام على نطاق واسع، وحوكمة البيانات غير الكافية إلى توسيع نطاق الحادث. أدى فشل شهادة في مسار فحص حركة المرور المشفرة إلى تأخير الاكتشاف حتى أواخر يوليو. وبالتالي أصبح الاختراق اختبارًا لمساءلة الإدارة قبل أن يصبح اختبارًا للاستجابة للحوادث.
- يجب فصل السجل القانوني حسب الحالة. تصف تقارير الكونغرس ومكتب المحاسبة الحكومي (GAO) إخفاقات الرقابة؛ بيان لجنة التجارة الفيدرالية (FTC) يحتوي على ادعاءات؛ أوامر الموافقة الصادرة في 2018 على مستوى الولايات و2019 على المستوى الفيدرالي تفرض التزامات؛ لائحة الاتهام الجنائية تزعم سلوك المهاجمين؛ وتمت الموافقة على تسوية المستهلكين دون محاكمة تحسم كل ادعاء متنازع عليه.
- الدرس الدائم لمجلس الإدارة هو إثباتي. الموعد النهائي للسياسة، أو البريد الإلكتروني الجماعي، أو نتيجة الماسح، أو لون لوحة المعلومات ليس إغلاقًا. يحتاج المديرون إلى دليل على أن الأصول الهامة معروفة، وأن المالكين المعينين قبلوا العمل، وأن المعالجة تم التحقق منها بشكل مستقل، وأن الاستثناءات محددة زمنيًا، وأن المسار المتبقي للبيانات الحساسة مقيد.
كان الاختراق سلسلة رقابية، وليس مجرد تصحيح واحد فائت
أقصر وصف لاختراق Equifax دقيق لكنه غير مكتمل: لم تقم الشركة بتصحيح ثغرة أمنية في Apache Struts معرضة للإنترنت، استغلها المهاجمون، وتم سحب المعلومات الشخصية لحوالي 147 مليون شخص. يحدد هذا الوصف نقطة الدخول. لكنه لا يشرح لماذا ترك تنبيه عام، وإصلاح من البائع، وتنبيه داخلي حرج، وموعد نهائي محدد بـ48 ساعة، وكالة تقارير ائتمانية كبرى معرضة للخطر لأشهر.
يظهر السجل الأكثر اكتمالاً سلسلة. جعلت Apache مشكلة تنفيذ التعليمات البرمجية عن بعد الحرجة علنية وأوصت بإصدارات Struts المصححة. تلقت Equifax تحذيرًا وأرسلت تعليمات داخلية. لم تؤسس التعليمات ملكية ذات حلقة مغلقة. كانت الشركة تفتقر إلى جرد موثوق به لأماكن تشغيل البرنامج المتأثر. لم يبحث الماسح بعمق كافٍ للعثور على المكون المعرض للخطر. تم التعامل مع غياب النتيجة كدليل على عدم وجود تعرض. لم يُفرض أي رقابة تعويضية لإجراء مراجعة يدوية لتطبيق النزاع المعرض للإنترنت. عندما دخل المهاجمون لاحقًا، تمكن التطبيق من الوصول إلى أنظمة تتجاوز تلك المطلوبة لوظيفته. مكنت بيانات الاعتماد في مشاركة ملفات قابلة للوصول من حركة أوسع.
كانت البيانات الحساسة مقيدة بشكل غير كافٍ. لم يتم فحص حركة المرور المشفرة بسبب انتهاء صلاحية شهادة في مسار المراقبة. جاء الاكتشاف فقط بعد استبدال تلك الشهادة.
هذا هو السبب في أن الاختراق يظل حالة مساءلة مجلس إدارة وليس مجرد حالة إدارة تصحيح. التصحيح هو قطعة برمجية. ضمان التصحيح هو نظام إداري. يعتمد على الجرد، والملكية، والتصعيد، وتنفيذ التغيير، والتحقق، ومعالجة الاستثناءات، والمراقبة، والهندسة المعمارية، والأدلة. عندما تفشل العديد من هذه الوظائف في نفس الاتجاه، يمكن للمؤسسة الامتثال للأجزاء المرئية من عمليتها مع بقائها معرضة بشكل كبير.
السجل العام قوي لكنه غير موحد.تقرير موظفي الأغلبية في لجنة الرقابة والإصلاح الحكومي بمجلس النوابوتقرير موظفي اللجنة الفرعية الدائمة للتحقيقات بمجلس الشيوخكانا تحقيقين تشريعيين، وليسا أحكامًا قضائية. استندتمراجعة مكتب المحاسبة الحكومي (GAO)إلى مواد من Equifax والطب الشرعي بالإضافة إلى وكالات العملاء الفيدرالية. يحتويشكوى FTCعلى ادعاءات مقدمة في التقاضي. تحتوي إيداعات الشركة لدى هيئة الأوراق المالية والبورصات (SEC) على رواية الإدارة والإفصاحات المالية. تحدد أوامر الموافقة التزامات مع الحفاظ على المواقف القانونية المحددة. تستخدم هذه المقالة كل مصدر لما يمكنه إثباته ولا تدمج هذه الفئات في حكم واحد.
الجدول الزمني من التنبيه إلى الاختراق
التسلسل مهم لأن المساءلة تتغير مع الوقت. يمكن للشركة أن تحتاج بشكل معقول إلى فترة قصيرة لتحديد الأنظمة المتأثرة، واختبار الإصلاح، ونشره. يضعف هذا الدفاع عندما تكون المشكلة الحرجة معروفة بأنها قابلة للاستغلال عن بعد، ويكون إصلاح البائع متاحًا، والنظام معرض للإنترنت، وتكون الشركة نفسها قد فرضت مهلة استجابة مدتها 48 ساعة.
| التاريخ | الحدث وأهمية المساءلة |
|---|---|
| 7 مارس 2017 | نشرت Apache النشرة الأمنية S2-045 لـ CVE-2017-5638، وصنفتها على أنها حرجة، وأوصت بالترقية إلى إصدارات Struts المصححة. |
| 8 مارس | حذرت US-CERT شركة Equifax بشأن الثغرة الأمنية، وفقًا لتقارير الكونغرس. |
| 9 مارس | عممت مجموعة إدارة التهديدات والثغرات العالمية في Equifax تعليمات بتصحيح الأنظمة المتأثرة خلال 48 ساعة. لم تؤسس عملية التوزيع والإقرار أن كل مالك مسؤول قد استلم المهمة وقبلها. |
| 10 مارس | يحدد تقرير مجلس النواب أول دليل على نشاط متعلق بالاستغلال عثرت عليه المراجعة الجنائية اللاحقة. لم يكن هذا اكتشاف Equifax المتزامن للاختراق. |
| 15 مارس | أجرت Equifax مسحًا يهدف إلى العثور على مثيلات Struts المعرضة للخطر. لم يُرجع أي أنظمة معرضة للإنترنت، لكن المسح لم يصل إلى الدليل الفرعي الذي يحتوي على المكون في بوابة النزاع. |
| 16 مارس | تمت مناقشة الثغرة الأمنية في اجتماع التهديدات والثغرات. لم يتم تحديد البوابة وتصحيحها بعد. |
| 13 مايو | يضع تقريرا مجلس النواب ومجلس الشيوخ دخول المهاجمين إلى نظام مقابلة المستهلك الآلي (ACIS) في هذا التاريخ. أعطت أغلفة الويب (web shells) وصولاً عن بعد مستمرًا. |
| 13 مايو - 29/30 يوليو | استفسر المهاجمون من قواعد البيانات وسحبوا البيانات مع بقائهم غير مكتشفين. يصف تقرير مجلس النواب فترة هجوم مدتها 76 يومًا. |
| 29 يوليو | استبدلت Equifax شهادة منتهية الصلاحية مستخدمة في مسار مراقبة حركة مرور ACIS. أصبحت حركة المرور المشبوهة مرئية على الفور تقريبًا وتم حظرها. |
| 30 يوليو | ظهرت حركة مرور مشبوهة إضافية. أوقفت Equifax بوابة ACIS، منهية الوصول النشط الموصوف في التقارير. |
| 31 يوليو | استنتج موظفو Equifax أنه ربما تمت إزالة معلومات التعريف الشخصية. أبلغ مدير المعلومات التنفيذي المدير التنفيذي آنذاك ريتشارد سميث بالحادثة. |
| 2 أغسطس | استعانت Equifax بمستشارين خارجيين وشركة Mandiant وأبلغت مكتب التحقيقات الفيدرالي (FBI). |
| 11-24 أغسطس | انتقل التحقيق الجنائي من القلق بشأن قاعدة بيانات تحتوي على كميات كبيرة من المعلومات الشخصية إلى تأكيد أنه تم الوصول إلى كمية كبيرة. |
| 24-25 أغسطس | أبلغ سميث مجلس الإدارة بأكمله عبر الهاتف، وفقًا للجدول الزمني لمجلس النواب. |
| 4 سبتمبر | جمعت Equifax وMandiant قائمة أولية تضم حوالي 143 مليون مستهلك أمريكي متضرر. |
| 7 سبتمبر | أعلنت Equifax عن الحادثة علنًا من خلال نموذج 8-K لدى SEC وأطلقت موقع ويب للاستجابة ومركز اتصال. |
| 15-26 سبتمبر | أعلن مدير المعلومات التنفيذي ومدير الأمن الرئيسي تقاعدهما، تلاه تقاعد سميث كرئيس مجلس إدارة ومدير تنفيذي. |
| 2 أكتوبر | أعلنت Equifax أن عدد السكان الأمريكيين المحددين قد زاد بمقدار 2.5 مليون. تم إنهاء أحد كبار المسؤولين التنفيذيين في مجال التكنولوجيا بسبب الفشل في إعادة توجيه تنبيه التصحيح. |
| 1 مارس 2018 | حددت Equifax 2.4 مليون مستهلك أمريكي آخر تم أخذ أسمائهم ومعلومات رخصة القيادة الجزئية، ليصل المجموع المبلغ عنه عادةً إلى حوالي 147.9 مليون. |
يختلف العدد عبر السجلات لأن السكان المتأثرين تم تحسينهم بمرور الوقت ولأن بعض الوثائق تقرب الإجمالي. قال إعلان Equifax المودع لدى SEC في 7 سبتمبر إن حوالي 143 مليون مستهلك أمريكي ووصف الوصول غير المصرح به من منتصف مايو وحتى يوليو. تستخدم السجلات اللاحقة بشكل عام حوالي 147 مليونًا؛ يقربه تقرير مجلس النواب إلى 148 مليونًا. الاستنتاج المسؤول ليس أن رقمًا واحدًا يبطل الآخرين. بل إن النطاق كان مؤقتًا وقت الإفصاح وتوسع مع استمرار التحليل.
7 مارس: إشعار بائع حرج مع إصلاح متاح
الثغرة الأمنية نفسها لم تكن غامضة أو مقدمة دون إصلاح. وصفت نشرة Apache S2-045 إمكانية تنفيذ التعليمات البرمجية عن بعد أثناء تحميل الملفات من خلال محلل Jakarta Multipart، وأعطتها أعلى تصنيف "حرج"، وحددت فروع Struts المتأثرة، وأوصت بالترقية إلى 2.3.32 أو 2.5.10.1. كما قدمت خيارات بديلة. يصف إدخال قاعدة بيانات الثغرات الوطنية (NVD) لـ CVE-2017-5638 رؤوس HTTP التي يتحكم فيها المهاجم والتي تصل إلى معالجة استثناءات وأخطاء معيبة، ويسجل درجة أساسية CVSS 3.1 تبلغ 9.8 (حرجة).
الفرق بين تاريخ الإفصاح وتاريخ نشر NVD يستحق الحفاظ عليه. كانت نشرة Apache والإصدارات المصححة متاحة في 7 مارس. يسرد NVD 10 مارس كتاريخ نشره. يعتمد التسلسل الزمني للكونغرس على إفصاح البائع واتصال US-CERT الذي تلقه Equifax. لذلك يجب على مجلس الإدارة الذي يراجع الحادثة أن يسأل متى دخل إصلاح البائع القابل للتنفيذ في عملية الشركة، وليس متى أكملت كل قاعدة بيانات أمان أسفل السلسلة دورة النشر الخاصة بها.
تفاعلت Equifax بالفعل. أرسل فريق الأمان رسالة داخلية واسعة في 9 مارس توجه الموظفين المعنيين بتطبيق التصحيح خلال 48 ساعة. هذا الإجراء يدحض الادعاء بأن الشركة تجاهلت التنبيه تمامًا. كما يكشف نقطة الضعف الرقابية المركزية: تم التعامل مع نشر التعليمات كآلية تنفيذ.
وفقًا لادعاءات FTC، كان أكثر من 400 موظف في عملية توزيع التصحيح الحرج، لكن السياسة لم تتطلب من المستلمين الإقرار بالتوجيه أو تأكيد التطبيق. تضيف التحقيقات الكونغرسية فشل توجيه أكثر تحديدًا. لم يكن المطور المسؤول عن ACIS في قائمة التنبيه؛ تلقى مدير كبير في تلك السلسلة الإشعار لكنه لم يعده إلى المطور أو الفريق. قامت Equifax لاحقًا بإنهاء أحد كبار المسؤولين التنفيذيين لعدم إعادة توجيه البريد الإلكتروني. تناول هذا الإجراء الشخصي فشلًا واحدًا، لكنه لم يجب على سؤال لماذا تعتمد رقابة حرجة على خطوة توجيه واحدة.
كانت عملية التصحيح الطارئ القابلة للدفاع ستحول التنبيه إلى سجل خاضع للمساءلة: المنتج والإصدارات المتأثرة؛ المثيلات القابلة للوصول خارجيًا؛ مالك الأعمال؛ المالك الفني؛ مستوى المخاطرة؛ وقت الإنجاز المطلوب؛ سجل التغيير؛ طريقة التحقق؛ سلطة الاستثناء؛ الضوابط التعويضية؛ والتصعيد إذا بقي أي حقل دون حل. كانت لدى عملية Equifax موعد نهائي لكنها افتقرت إلى دليل إغلاق موثوق. لذلك كانت قاعدة 48 ساعة موجودة كسياسة دون أن تصبح نتيجة موثوقة.
جرد الأصول كان أول رقابة مفقودة
لم يكن الفشل في تحديد ACIS كمتأثر حالة شاذة في المسح غير متوقعة في بيئة خاضعة للسيطرة. كان مراجعة إدارة التصحيح الخاصة بـ Equifax في 2015 قد حددت نقاط ضعف أصبحت لاحقًا مركزية في الاختراق. يقول تقرير مجلس الشيوخ إن تلك المراجعة وجدت أن الشركة لا تتبع جدول التصحيح الخاص بها، وكان لديها عملية تصحيح تفاعلية، وتستخدم "نظام الشرف" الذي لم يضمن التثبيت، وتفتقر إلى جرد شامل لأصول تكنولوجيا المعلومات. ويضيف أنه لم تكتمل أي مراجعة متابعة رسمية بحلول أغسطس 2017 وأن الأشخاص الذين تمت مقابلتهم لم يتمكنوا من تذكر مراجعة أخرى لإدارة التصحيح خلال فترة عملهم.
يعيد تقرير مجلس النواب إنتاج النتيجة العملية لفجوة الجرد: بدون قائمة دقيقة للأصول ووثائق الشبكة، كان من الصعب ضمان تصحيح الأنظمة وتكوينها وفحصها. يقول التقرير إن خطة المعالجة لعام 2015 كان تاريخ الانتهاء المقدر لها 30 يونيو 2017. في وقت الاختراق، وجد تحقيق مجلس الشيوخ أن الجرد الكامل لم يكن في مكانه بعد.
الجرد في هذا السياق يعني أكثر من قائمة بالخوادم. أثرت CVE-2017-5638 على إطار عمل برمجي مضمن داخل التطبيقات. كان الجرد المفيد بحاجة إلى ربط التطبيقات المواجهة للإنترنت بمكوناتها في وقت التشغيل، والإصدارات، والمالكين، والوصول إلى البيانات، والتبعيات، وأماكن النشر. يمكن للسجل المادي أن يُظهر وجود خادم ACIS بينما يفشل في الكشف عن وجود مكتبة Struts معرضة للخطر داخله. كان الهدف الرقابي هو رؤية البرامج والخدمات، وليس مجرد محاسبة المعدات.
جعل التعقيد القديم هذا العمل أصعب لكنه أكثر أهمية. يصف تقرير مجلس النواب ACIS كنظام مخصص بجذور في السبعينيات، يعمل في بيئة معقدة تشكلت بسنوات من الاستحواذ والنمو. يمكن للتعقيد أن يفسر لماذا الجرد مكلف وغير كامل. لا يمكن أن يكون بأمان استثناءً من معرفة ما يعمل على تطبيق مواجه للإنترنت يتصل ببيانات المستهلك الحساسة. حيثما كان الاكتشاف الكامل غير ممكن بعد، يجب أن تكون الاستجابة التعويضية هي عزل أقوى، وضوابط خروج أكثر صرامة، ومراجعة يدوية للكود والتكوين، أو إزالة مؤقتة من الوصول الخارجي.
المقارنة في تقرير مجلس الشيوخ مفيدة لكن لا ينبغي المبالغة فيها. وجدت أن TransUnion و Experian واجهتا أيضًا تنبيه Struts، واستخدمتا الجرد وطرق المسح أو المراجعة المتعددة، وحددتا أو خففتا من المثيلات المتأثرة. هذا لا يثبت أن برامج الأمان الشاملة الخاصة بهما كانت خالية من العيوب. لكنه يُظهر أن نتيجة Equifax لم تكن خاصية حتمية للثغرة. نظراء واجهوا نفس الإشعار العام وحققوا نتائج تشغيلية مختلفة بشكل كبير.
لأغراض مجلس الإدارة، يجب تأطير مشكلة الجرد كبيان لتغطية المخاطر. "قمنا بمسح الشبكة" ليس ذا معنى بدون مقام. يحتاج المديرون إلى معرفة النسبة المئوية للخدمات القابلة للوصول خارجيًا الممثلة في الجرد؛ والنسبة المئوية التي لها ملاك محددون؛ وكم من تركيب البرامج معروف؛ وأي الأنظمة القديمة لا يمكن تقييمها تلقائيًا؛ وكيف يتم عزل الاستثناءات. المسح على ممتلكات غير معروفة ينتج نشاطًا، وليس ضمانًا.
فشل المسح حول عدم اليقين إلى ثقة زائفة
في 15 مارس، أجرت Equifax مسحًا آليًا يهدف إلى تحديد الأنظمة المعرضة لثغرة Struts. لم يجد أيًا منها. يقول تقرير مجلس النواب إن الماسح عمل على الدليل الجذر ولم يزحف إلى الدليل الفرعي حيث تم إدراج Struts. يقول تقرير مجلس الشيوخ بالمثل إن الاستخدام المتكرر للأداة لم يبحث على مستويات الشبكة المناسبة. تزعم شكوى FTC أن الماسح لم يتم تكوينه للبحث في جميع الأصول التي يحتمل أن تكون معرضة للخطر وأن Equifax تفتقر إلى جرد دقيق يخبرها أين يحتاج الماسح إلى العمل.
لا يثبت أي من هذه السجلات أن ماسحات الثغرات غير فعالة بطبيعتها. إنها تثبت نقطة أضيق وأكثر أهمية: النتيجة السلبية لها قيمة فقط بالنسبة لتغطية الاختبار وقدرة الأداة. إذا كان المكون المتأثر يمكن أن يقع تحت عمق بحث الماسح، فإن "لم يتم العثور على ثغرة" يعني "لم يتم العثور على ثغرة ضمن هذا التكوين والنطاق." لا يعني "الثغرة غير موجودة."
الفرق أساسي في لغة المراجعة لكنه غالبًا ما يضيع في تقارير الإدارة. النتيجة الحمراء تدفع للعمل. النتيجة الخضراء تغلق العمل. إذا كان يمكن إنتاج اللون الأخضر بنطاق غير كامل، فإن لوحة المعلومات تكافئ الجهل. المعالجة الصحيحة للنتيجة السلبية غير المؤكدة هي عدم اليقين المتبقي. لمسألة حرجة قابلة للاستغلال عن بعد على خدمة مواجهة للإنترنت، يجب أن يؤدي هذا عدم اليقين إلى طريقة ثانية: مسح مصادق، تحليل تركيب البرامج، مراجعة المصدر والبناء، فحص العملية، بحث الحزمة، شهادة المالك مدعومة بالأدلة، أو اختبار مباشر للتطبيق في بيئة خاضعة للسيطرة.
غياب الطريقة الثانية كان مهمًا لأن توجيه التصحيح نفسه لم يكن حلقة مغلقة. الموظف ذو المسؤولية المباشرة عن التطبيق لم يتلق التعليمات، والجرد المركزي كان غير كامل، والماسح يمكن أن يفوت المكونات المتداخلة. لم تكن هذه ضمانات مستقلة. كانت ثلاث ضوابط تشترك في نفس النقطة العمياء. كل منها يعتمد على معرفة دقيقة بملكية التطبيق وتكوينه. لذلك كان تكرارها الظاهري أضعف مما بدا.
هذه مشكلة متكررة لمجلس الإدارة. قد تقدم الإدارة ضوابط متعددة كطبقات دون اختبار ما إذا كانت تفشل لنفس السبب. قد تستمد قاعدة بيانات الأصول، وقائمة التوزيع البريدية، وماسح الثغرات، ولوحة معلومات التصحيح جميعها من نفس سجل الملكية غير الكامل. إذا أغفل السجل تطبيقًا قديمًا، يمكن لجميع الضوابط الأربعة الإبلاغ عن النجاح معًا. يجب أن يسأل مراجعة مخاطر مجلس الإدارة ليس فقط عن عدد الضوابط الموجودة، ولكن ما إذا كانت مصادر بياناتها وأنماط فشلها مستقلة.
13 مايو إلى 30 يوليو: نقطة الدخول أصبحت مسار وصول للبيانات
تضع تقارير الكونغرس دخول المهاجمين الفعلي إلى ACIS في 13 مايو. اتهم إعلان لاحق من وزارة العدل (DOJ) بلائحة اتهام أربعة أعضاء من جيش التحرير الشعبي الصيني بالاختراق. تزعم لائحة الاتهام أن المتهمين استغلوا ثغرة Struts، وأجروا استطلاعًا، وحصلوا على بيانات اعتماد، واستفسروا من قواعد البيانات، وضغطوا وقسموا الملفات المسروقة، ووجهوا حركة المرور عبر بنية تحتية في عدة دول، وحاولوا محو الآثار. هذه ادعاءات في وثيقة اتهام جنائية؛ المتهمون مفترضون بالبراءة حتى تثبت إدانتهم. لائحة الاتهام ذات صلة بسلوك المهاجمين المنسوب، وليس لتحويل الادعاءات إلى حقائق مقضى بها.
يقول تقرير مجلس النواب إن المهاجمين قاموا بتثبيت أغلفة ويب (web shells)، مما منحهم وسيلة ويب مستمرة للتحكم في النظام المخترق. ثم عثروا على ملف يحتوي على أسماء مستخدمين وكلمات مرور غير مشفرة. كان ACIS بحاجة إلى الوصول إلى ثلاث قواعد بيانات لغرض عمله، لكنه لم يكن معزولاً عن قواعد البيانات غير ذات الصلة. ببيانات الاعتماد، وصل المهاجمون إلى 48 قاعدة بيانات، وأرسلوا حوالي 9000 استعلام، وحددوا موقع معلومات شخصية غير مشفرة مئات المرات.
تذكر شكوى FTC نفس النقطة المعمارية في شكل ادعاء. تقول إن المهاجمين تمكنوا من اجتياز عشرات قواعد البيانات غير ذات الصلة بسبب عدم كفاية التجزئة، وأن مشاركة ملفات غير آمنة متصلة بـ ACIS تحتوي على بيانات اعتماد إدارية بنص عادي. تزعم أن المهاجمين لم يحتاجوا إلى أدوات معقدة للتنقل عبر الشبكة. هذا مهم لأن شدة ثغرة الدخول هي جزئيًا دالة على ما يمكن للتطبيق المخترق الوصول إليه بعد الدخول.
غالبًا ما يتم وصف التجزئة كتفصيل تقني، لكنه يعبر عن قرار إداري بشأن نصف قطر الانفجار. يجب أن تحتوي بوابة النزاع المواجهة للإنترنت فقط على مسارات الشبكة، وصلاحيات قاعدة البيانات، ووصول الملفات اللازمة لمعالجة النزاعات. إذا كانت بحاجة إلى ثلاث قواعد بيانات، يجب أن يقع العبء على أي تصميم يسمح لبيانات الاعتماد التي تم الحصول عليها هناك بفتح العشرات غيرها. يجب أن تفترض الضوابط أن تطبيقًا عامًا يمكن أن يتم اختراقه في النهاية وتمنع هذا الحدث من أن يصبح وصولاً مؤسسيًا واسعًا.
بيانات الاعتماد جزء من نفس الحدود. تخزين بيانات اعتماد إدارية قابلة لإعادة الاستخدام بنص عادي على مشاركة يمكن الوصول إليها ينهار الفصل بين اختراق التطبيق وإدارة قاعدة البيانات. الممارسة الأقوى تفصل هويات الخدمة، وتقيد كل هوية بمورد وإجراء محددين، وتستخدم تخزينًا سريًا مُدارًا، وتدور بيانات الاعتماد، وتراقب الاستخدام المميز، وتمنع حساب التطبيق من تعداد مخازن البيانات غير ذات الصلة. لا يدعم السجل اختراع أي أداة حديثة كانت ستوقف كل خطوة. لكنه يدعم الاستنتاج أن بيانات الاعتماد الواسعة والوصول المسطح ضخما الحادث.
أضافت حوكمة البيانات المضاعف النهائي. تزعم شكوى FTC أن Equifax خزنت كميات كبيرة من أرقام الضمان الاجتماعي ومعلومات بطاقات الدفع بنص عادي ونسخت معلومات حساسة في بيئات التطوير والاختبار التي يمكن الوصول إليها بما يتجاوز الحاجة التجارية. لخص GAO تحليل Equifax الخاص لما بعد الحادث إلى أربعة عوامل تمكينية: التحديد، والكشف، وتجزئة الوصول إلى قواعد البيانات، وحوكمة البيانات. هذه الصياغة أكثر فائدة من اختصار الحدث إلى التصحيح. التحديد سمح للتعرض بالاستمرار. الكشف سمح للنشاط بالاستمرار. التجزئة سمحت بالتوسع. حوكمة البيانات زادت مما يمكن أخذه ومدى قيمته.
الشهادة المنتهية الصلاحية كانت فشل رقابة مراقبة
فحص حركة المرور المشفرة كان رقابة أخرى كانت موجودة في التصميم لكنها فشلت في التشغيل. تطلب جهاز المراقبة لـ ACIS شهادة صالحة لفك تشفير وفحص حركة المرور ذات الصلة. كانت الشهادة قد انتهت صلاحيتها. عندما استبدلتها Equifax في 29 يوليو كجزء من عمل شهادة أوسع، لاحظ فريق الأمان على الفور تقريبًا حركة مرور صادرة مشبوهة. تم حظر الوجهة المشبوهة؛ ظهرت حركة مرور ذات صلة في اليوم التالي؛ وتم إيقاف ACIS عن العمل.
تختلف السجلات العامة حول المدة، ويجب أن يظل هذا الاختلاف مرئيًا. يقول تقرير مجلس الشيوخ إن الشهادة المتعلقة بالبوابة كانت قد انتهت صلاحيتها في نوفمبر 2016، أي حوالي ثمانية أشهر قبل الاستبدال. تزعم شكوى FTC أنها انتهت صلاحيتها قبل عشرة أشهر على الأقل من الاكتشاف. يقول تقرير مجلس النواب إن جهاز المراقبة كان غير نشط لمدة 19 شهرًا بسبب شهادة منتهية الصلاحية. قد تعكس هذه خطوط أساس أو أجهزة أو أوصافًا مختلفة في السجل الأساسي. الاستنتاج السليم هو أن الفحص كان معطلاً لأشهر طويلة، وليس أن مدة واحدة يمكن تأكيدها دون تحفظ.
يضيف تقرير مجلس النواب الحجم: أكثر من 300 شهادة أمان قد انتهت صلاحيتها، بما في ذلك 79 مرتبطة بمراقبة المجالات الحيوية للأعمال. يصف تقرير مجلس الشيوخ مسؤولية الشهادة بأنها تدار بشكل فردي ويقول إن برنامج دورة حياة مركزي كان لا يزال قيد التنفيذ. لم يكن هذا مجرد تاريخ تم تجاهله من قبل مشغل واحد. كان دليلاً على أن المنظمة لم تمتلك بعد اكتشافًا موثوقًا للشهادات، وملكية، وتجديد، وتنبيه بالفشل عبر الممتلكات.
تنتمي إدارة الشهادات إلى نفس سلسلة الضمان مثل التصحيح. كلاهما يشمل أصولًا ذات حالات انتهاء صلاحية أو ثغرات معروفة، وأصحابًا محددين، ومواعيد نهائية، وتجديدًا أو معالجة مؤتمتة حيثما أمكن، وتصعيدًا عندما لا يكتمل الإجراء. كلاهما يمكن أن ينتج فشلاً صامتًا خطيرًا. خدمة ويب بشهادة عامة منتهية الصلاحية مرئية لأن المستخدمين يرون أخطاء. الشهادة المنتهية الصلاحية داخل مسار المراقبة يمكن أن تكون أسوأ: الخدمة تبدو عاملة بينما يفقد المدافع الرؤية.
الاكتشاف الفوري تقريبًا بعد الاستبدال مهم بشكل خاص. لا يثبت أن كل طلب خبيث سابق كان سيتم اكتشافه لو بقيت الشهادة سارية. لكنه يُظهر أن رقابة كانت تمتلكها Equifax بالفعل أنتجت أدلة مفيدة بمجرد استعادتها. لذلك لم يكن الاستثمار في تكنولوجيا المراقبة كافيًا. الصيانة التشغيلية هي التي حددت ما إذا كان هذا الاستثمار يعمل.
الاكتشاف كان حاسمًا؛ الإفصاح كان اختبارًا تشغيليًا ثانيًا
بمجرد أن أصبحت حركة المرور المشبوهة مرئية، تصرفت Equifax بسرعة لحظر الوجهات والتحقيق وإيقاف ACIS عن العمل. أبلغت كبار القادة التكنولوجيين والأمنيين، واستعانت بمستشارين خارجيين وشركة Mandiant، واتصلت بـ FBI، وبدأت في تحديد ما إذا تمت إزالة المعلومات الشخصية. لا ينبغي محو هذا الجزء من السجل بسبب الإخفاقات السابقة. احتواء الحادث بعد 29 يوليو تحرك أسرع بكثير من إغلاق الثغرة بعد 7 مارس.
التأخير بين الاكتشاف والإعلان العام يحتاج إلى سياق. لم تكن Equifax تعرف عدد السكان المتأثرين في 29 يوليو. كان على عمل Mandiant إعادة بناء الوصول عبر بيئة معقدة، وتحديد أنواع البيانات، وتحديد الأفراد المتأثرين. يقول الجدول الزمني لمجلس النواب إن التحقيق حدد جدولاً يحتوي على كميات كبيرة من المعلومات الشخصية بحلول 11 أغسطس، وأكد الوصول الكبير بحلول 24 أغسطس، وأكمل القائمة الأولية البالغة 143 مليون مستهلك أمريكي بحلول 4 سبتمبر. تبع الإعلان العام في 7 سبتمبر.
هذا التسلسل لا يلغي الأسئلة حول التصعيد. تم إبلاغ المدير التنفيذي في 31 يوليو، بينما تم إبلاغ مجلس الإدارة بأكمله في 24-25 أغسطس، وفقًا لتقرير مجلس النواب. لكنه يظهر لماذا "بعد ستة أسابيع من الاكتشاف" ليس بحد ذاته دليلاً على تأخير غير قانوني في الإفصاح. تختلف الالتزامات القانونية، وكان النطاق لا يزال قيد التحديد. أقوى انتقاد في السجل العام يتعلق بجاهزية الاستجابة بدلاً من حكم قضائي بأن التوقيت انتهك قانون إفصاح محدد.
الإعلان الأولي، المودع كملحق لـ SEC، ذكر أن المجرمين استغلوا ثغرة في تطبيق موقع ويب أمريكي ووصف فئات البيانات المتأثرة. كما قال إن Equifax لم تجد دليلاً على نشاط غير مصرح به في قواعد بيانات التقارير الائتمانية الأساسية للمستهلكين أو التجارية. يمكن لهذا البيان أن يتعايش مع النتيجة اللاحقة أن المهاجمين وصلوا إلى قواعد بيانات عديدة خارج ACIS: "لا دليل" حول الأنظمة الأساسية المسماة ليس مثل الادعاء بعدم الوصول إلى قواعد بيانات أخرى.
لم تعمل بنية الاستجابة للمستهلكين بشكل جيد تحت الطلب. وجد تقرير مجلس النواب أن موقع الويب المخصص ومراكز الاتصال قد غمرتا على الفور. تلقى المستهلكون أحيانًا نتائج متضاربة أو غير كاملة، أو لم يتمكنوا من التسجيل، أو لم يتمكنوا من الوصول إلى ممثل. قامت Equifax بتجميع موقع الويب المنفصل في حوالي ثلاثة أسابيع وأضافت بسرعة حوالي 1500 وكيل مركز اتصال مؤقت. كان الجهد كبيرًا، لكن النتيجة كشفت عن فجوة استمرارية: شركة كان نموذجها العادي شديد الاعتماد على الأعمال التجارية لم تبنِ سعة أزمة على نطاق المستهلك لحدث يؤثر على ما يقرب من نصف البلاد.
المجال المنفصل خلق أيضًا احتكاكًا بالثقة. يقول تقرير مجلس النواب إنه حتى حساب Equifax على وسائل التواصل الاجتماعي وجه المستهلكين مرارًا إلى موقع مشابه الاسم أنشأه باحث أمني بعد أن قام موظف بعكس كلمات في العنوان. لا يوجد دليل في التقرير على أن الباحث سرق البيانات المقدمة؛ الحادثة مهمة لأن اتصالات الاختراق يجب أن تقلل من غموض التصيد بدلاً من خلقه. قناة استجابة تطلب من الأشخاص تقديم معلومات تعريفية يجب أن تكون سهلة المصادقة، ومختبرة تحت حمل استثنائي، ومدعومة بموظفين يمكنهم الإجابة على السؤال المركزي: هل تأثر هذا الشخص؟
استمرارية القطاع العام امتدت إلى ما بعد شبكة Equifax الخاصة
لم ينتج عن الاختراق انقطاع موثق على مستوى البلاد في أنظمة التقارير الائتمانية الأساسية لـ Equifax. ومع ذلك، فإن استمرارية القطاع العام محورية لأن الوكالات الفيدرالية استخدمت Equifax للتحقق من الهوية ولأن السمات المسروقة يمكن أن تضعف الافتراضات وراء إثبات الهوية عن بعد.
راجع GAO دائرة الإيرادات الداخلية (IRS)، وإدارة الضمان الاجتماعي (SSA)، وهيئة البريد الأمريكية (USPS)، وهم ثلاثة عملاء فيدراليين رئيسيين لخدمات التحقق من هوية Equifax. يقول تقريرها لعام 2018 إن الوكالات قيمت ضوابط Equifax، وحددت مخاوف فنية منخفضة المستوى للمعالجة، وعدلت العقود، بما في ذلك متطلبات إخطار الاختراق المستقبلية. تم إنهاء عقد واحد مع IRS. كشفت ملفات Equifax لدى SEC أيضًا عن تدقيق معزز، وتعليق عقد حكومي واحد، وعمليات تدقيق أمنية من قبل العملاء، وتأجيل أو إلغاء بعض العقود أو المشاريع.
كانت قضية الاستمرارية أيضًا معرفية: هل يمكن للوكالات الاستمرار في التعامل مع معرفة التاريخ الائتماني للشخص كدليل على أن الشخص هو من يدعي؟ وجدت مراجعة GAO لعام 2019 للتحقق من الهوية الفيدرالية عبر الإنترنت أن البيانات المسروقة في اختراقات مثل Equifax يمكن استخدامها للإجابة على أسئلة التحقق القائمة على المعرفة. وأشارت إلى أن توجيهات NIST لعام 2017 منعت فعليًا الوكالات الفيدرالية من استخدام التحقق القائم على المعرفة للتطبيقات الحساسة، وفحصت البدائل عبر الخدمات المواجهة للجمهور.
هذا نوع مختلف من انقطاع الخدمة. يمكن للخوادم البقاء متاحة بينما تفقد طريقة المصادقة مصداقيتها. ثم تضطر الوكالات إلى تغيير العقود، وإعادة تصميم إثبات الهوية، وإضافة فحص المستندات أو الحضور الشخصي، أو قبول مخاطر احتيال أعلى. تؤثر هذه التغييرات على الوصول إلى المزايا والخدمات، خاصة للأشخاص الذين يفتقرون إلى الأجهزة أو المستندات أو الاتصال أو التنقل الذي قد تفترضه الطرق البديلة.
لذلك يجب على مجالس إدارة وسطاء البيانات رسم خريطة التزامات الاستمرارية إلى أبعد من وقت التشغيل. يمكن أن تجبر إخفاقات السرية العملاء على تعليق التكامل. يمكن أن تجعل شكوك النزاهة البيانات غير مناسبة للقرارات. يمكن أن يؤدي تعرض بيانات الهوية إلى إبطال ممارسات المصادقة النهائية. يجب أن تُظهر خريطة الاستمرارية المفيدة أي الخدمات العامة تعتمد على بيانات الشركة، وما يجب على العملاء فعله إذا فقدت البيانات أو طريقة التحقق الثقة، وكيف سيوفر المزود أدلة سريعة لقرارات العقود والمخاطر.
استمرارية الشركات الصغيرة والمتوسطة هي مشكلة سعة بقدر ما هي مشكلة تكنولوجيا
تظهر الشركات الصغيرة والمتوسطة (SME) في نصف قطر الانفجار بشكل مختلف عن الوكالات الفيدرالية. لا يظهر السجل العام أن اختراق Equifax تسبب في إغلاق عام لخدمات الشركات الصغيرة، وسيكون من غير الدقيق الإيحاء بذلك. المخاطرة الأكثر قابلية للدعم هي أن أرباب العمل الصغار، وأصحاب العقارات، والمقرضين، وشركات المهنية، ومقدمي الخدمات يشاركون في أنظمة الائتمان والفحص والرواتب والهوية دون فرق الاحتيال أو القدرة القانونية أو خيارات الاستبدال المتاحة للمؤسسات الكبيرة.
تصف ملفات Equifax لدى SEC معلومات المستهلك والتجارية، وتسجيل الائتمان، ومنع الاحتيال، والتحقق من الهوية، ومعلومات الرهن العقاري، والتحقق من التوظيف، والخدمات المتعلقة بالحكومة. كما تذكر أن قطاع Workforce Solutions خدم الاستخدامات الحكومية والرهن العقاري والمالية وفحص ما قبل التوظيف والاتصالات. توجد هذه الخدمات داخل القرارات التي تتخذها المنظمات الصغيرة كل يوم حتى عندما لا تكون الشركة الصغيرة عميلاً مؤسسيًا مباشرًا لـ Equifax.
يقع عبء الاستمرارية في عدة أماكن. قد يحتاج المقرض الصغير أو صاحب العقار إلى التمييز بين مقدم طلب شرعي وشخص يستخدم سمات هوية مكشوفة. قد يعتمد صاحب العمل الصغير على سلسلة فحص أو التحقق من الدخل لكنه يفتقر إلى النفوذ للمطالبة بدليل رقابة مفصل من مزود بيانات مهيمن. قد تتحمل مؤسسة مالية محلية عمل دعم العملاء ومراجعة الاحتيال بعد اختراق كبير. قد تحتاج شركة خدمات مهنية إلى مساعدة العملاء في تجميد الائتمان، أو توثيق الخسائر، أو تصحيح السجلات. لا يتطلب أي من هذه التأثيرات أن تكون منصة Equifax غير متصلة بالإنترنت.
يعكس سجل التسوية استمرارية هذا العبء على مستوى المستهلك. ينص موقع تسوية Equifax الرسمي على أن التسوية أصبحت سارية في يناير 2022، وأن المزايا الأولية بدأت في الصرف لاحقًا في 2022، واستمرت مزايا المطالبات الممتدة بعد ذلك. يسجل صفحة تسوية FTC ترتيبات الدفع المستمرة واستعادة الهوية. قد تواجه المنظمة الصغيرة التي تدعم المتضررين هذا الذيل الطويل كاسترداد متكرر للحسابات، وتوثيق، ومعالجة الاحتيال، ومساعدة الموظفين بدلاً من انقطاع دراماتيكي واحد.
درس الرقابة العملي للشركات الصغيرة والمتوسطة ليس إعادة إنتاج برنامج أمان وكالة تقارير ائتمانية عالمية. بل هو تقليل الاعتماد على السمات الثابتة المكشوفة ومعرفة المسار البديل. يجب ألا تعامل فحوصات الهوية أرقام الضمان الاجتماعي أو تواريخ الميلاد أو العناوين أو أسئلة ملف الائتمان كأسرار لمجرد أنها شخصية. يجب أن تحدد العقود مع بائعي الفحص والرواتب والائتمان والهوية قنوات إخطار الحوادث، وبدائل الخدمة، وحدود الاحتفاظ بالبيانات، وإجراءات التصحيح، والتزامات الدعم. يجب أن يختبر تخطيط الاستمرارية ما يحدث عندما يكون المزود متاحًا ولكن يجب التعامل مع أدلته بحذر إضافي.
بالنسبة لمقدمي الخدمات الذين يخدمون الشركات الصغيرة والمتوسطة، تشمل مساءلة مجلس الإدارة عدم التماثل مع العملاء. يمكن للعملاء الكبار طلب عمليات تدقيق والتفاوض على شروط الإخطار؛ غالبًا ما يقبل العملاء الصغار الشروط القياسية والتأكيدات العامة. لا ينبغي لمزود البيانات عالية القيمة أن يجعل السلامة تعتمد على كل عميل صغير لديه الحجم للتحقيق فيه. التقييمات المستقلة، والضوابط الأساسية القابلة للتنفيذ، والإخطارات الواضحة بالحوادث، وقنوات المعالجة التي يمكن الوصول إليها تصحح جزئيًا هذا الخلل.
مساءلة الإدارة: ملكية السياسة كانت مقسمة عن التنفيذ
كانت النتيجة الإدارية المركزية لتقرير مجلس النواب فجوة مساءلة بين سياسة الأمن وعمليات تكنولوجيا المعلومات. قبل الاختراق، كان كبير مسؤولي الأمن يقدم تقاريره إلى كبير المسؤولين القانونيين بدلاً من كبير مسؤولي المعلومات أو مباشرة إلى الرئيس التنفيذي. تختلف هياكل التقارير بشكل مشروع، ولا توجد خريطة تنظيمية واحدة تضمن الأمن. في هذه الحالة، وصفت الشهادات التي جمعتها اللجنة الأمن وتكنولوجيا المعلومات بأنهما منعزلان، مع اتصال غير متسق، وقوائم جرد غير مكتملة تُحفظ بشكل منفصل، وإحباط من وتيرة العمل الأمني.
يقول التقرير إن كبار القادة في تكنولوجيا المعلومات والأمن عقدوا اجتماعات تنسيق شهرية بدءًا من 2016 وتابعوا مبادرات بما في ذلك إدارة التصحيح ونشر الشهادات الرقمية. هذا الدليل مهم لأنه يظهر أن القضايا لم تكن غير مرئية تمامًا. كان لدى المنظمة منتديات ومبادرات. كان الفشل في تحويل الانتباه إلى تنفيذ كامل ومختبر.
مراجعة 2015 تعزز هذا الاستنتاج. التصحيح التفاعلي، والجرد غير الكامل، والتحقق الضعيف، ومخاطر الأنظمة القديمة كانت مسجلة بالفعل. نظام المساءلة الناضج كان سيسند كل نتيجة إلى مالك تنفيذي، ويحدد معايير إغلاق قابلة للقياس، ويتطلب تحققًا مستقلاً، ويصعد التواريخ الفائتة إلى لجنة مخاطر. إغلاق مشكلة مراجعة يجب أن يعني أن الرقابة تعمل عبر البيئة المشمولة، وليس أن مشروعًا قد أطلق أو تم تسجيل تاريخ مستهدف.
كانت إجراءات Equifax بعد الاختراق في مجال الموظفين كبيرة. غادر مدير المعلومات التنفيذي ومدير الأمن الرئيسي في سبتمبر 2017. تقاعد الرئيس التنفيذي ورئيس مجلس الإدارة ريتشارد سميث في وقت لاحق من ذلك الشهر. تم إنهاء مسؤول تنفيذي كبير مسؤول عن أنظمة من بينها ACIS في أكتوبر. عينت الشركة لاحقًا CISO يقدم تقاريره مباشرة إلى الرئيس التنفيذي وكبير مسؤولي التكنولوجيا كند. غيرت هذه الإجراءات القيادة والهيكل. هي لا تثبت بحد ذاتها المسؤولية القانونية لكل شخص عن كل فشل رقابي.
ينطبق نفس التحفظ على التداول من الداخل. راجعت لجنة خاصة من مجلس الإدارة أربعة كبار مسؤولين تداولوا بين اكتشاف النشاط المشبوه والإفصاح العام وذكرت أنهم لم يعلموا بالحادثة في وقت تداولاتهم. تم تقديم تقرير اللجنة إلى SEC كملحق من مجلس إدارة Equifax. بشكل منفصل، رفعت SEC قضية ضد مدير المعلومات التنفيذي السابق لوحدة الأعمال Jun Ying؛ يقول بيان الدعوى الصادر عن SEC لعام 2019 أن حكمًا نهائيًا بالتراضي حل ادعاءات التداول من الداخل ويشير إلى إقرار بالذنب في القضية الجنائية الموازية. هؤلاء أشخاص مختلفون وسجلات واقعية مختلفة. دمجهم من شأنه تشويه أدلة مساءلة الإفصاح.
مساءلة مجلس الإدارة: قبل الحادثة، وأثناء التصعيد، وبعد التسوية
يجب تقسيم مساءلة مجلس الإدارة إلى ثلاث فترات. قبل الاختراق، السؤال هو ما كان يعرفه مجلس الإدارة أو كان يجب أن يطلبه بشأن مخاطر الأمن السيبراني الحرجة ونتائج الرقابة غير المحلولة. أثناء التصعيد، السؤال هو ما إذا كانت الحقائق المادية قد وصلت إلى المديرين بسرعة كافية وبشكل يدعم القرارات. بعد الاختراق، السؤال هو ما إذا كانت تغييرات الحوكمة قد خلقت أدلة دائمة بدلاً من اهتمام مؤقت.
يوفر السجل العام تفاصيل أكثر عن الفترة الثالثة من الأولى. ينتقد تقرير مجلس النواب هيكل الإدارة ويقول إن الرئيس التنفيذي لم يعط الأولوية للأمن السيبراني، استنادًا جزئيًا إلى وتيرة الاجتماعات ومن قدم معلومات الأمن. لا يحكم على ادعاء انتهاك الواجب الائتماني ضد المديرين. المصادر التي تمت مراجعتها هنا لا تثبت أن مديرًا فرديًا قبل عن علم تكوين ACIS المعرض للخطر. التحليل المقيد لا ينبغي أن يملأ تلك الفجوة بالاستدلال.
يصف بيان التوكيل الرسمي لـ Equifax لعام 2018 استجابة مجلس الإدارة. شكل المجلس لجنة خاصة، وفصل بين دور رئيس مجلس الإدارة والرئيس التنفيذي، وأضاف مديرين ذوي خبرة في التكنولوجيا والخدمات المالية، ووسع مسؤولية لجنة التكنولوجيا عن الأمن السيبراني، وطلب تقارير منتظمة من CISO وCTO والمراجعة الداخلية، ونص على جلسات تنفيذية دون وجود الإدارة. كما قال إن المجلس ولجانه قد اجتمعوا أكثر من 75 مرة بعد الإبلاغ عن الحادثة.
كما كشف بيان التوكيل عن إجراءات تعويضية. ألغى المجلس مدفوعات الحوافز السنوية لعام 2017 لفريق القيادة العليا، حوالي 2.8 مليون دولار، وعزز سياسة استرداد الأموال لتشمل الضرر المالي والسمعي في دور إشرافي، وأضاف الأمن السيبراني كمقياس لأداء التنفيذيين. تظهر هذه الإجراءات جهدًا لربط نتائج الأمن السيبراني بمساءلة التنفيذيين. تعتمد فعاليتها على جودة المقاييس. يمكن تحقيق مقياس يعتمد على حجم التصحيح أو إكمال التدريب مع بقاء مخاطر متبقية حرجة. يجب أن تختبر المقاييس الموجهة نحو النتائج التغطية، والتقادم، والتحقق المستقل، والنتائج المتكررة، والتعرض للاستثناء.
عدد اجتماعات مجلس الإدارة بعد الحادثة هو دليل على الاهتمام، وليس دليلاً على الفعالية. يمكن أن تكون 75 اجتماعًا ضرورية أثناء استجابة الأزمة. كانت تغييرات الحوكمة الأقوى هيكلية: وصول CISO المباشر، ونطاق اللجنة، والخبرة المستقلة، والتنسيق مع المراجعة، والتصعيد المحدد. حتى هذه تتطلب نموذج معلومات موثوقًا. لا يمكن لمجلس الإدارة الإشراف على تطبيق غائب عن الجرد أو تحدي مسح تخفي حدوده.
نقل أمر الموافقة متعدد الولايات الصادر في يونيو 2018 عدة توقعات من الحوكمة الطوعية إلى الالتزام القابل للتنفيذ. وافقت Equifax دون الإقرار أو إنكار اتهامات ممارسات أمن معلومات غير آمنة أو غير سليمة. طلب الأمر مراجعة وموافقة مجلس الإدارة على تقييم مكتوب للمخاطر، وقائمة وأولوية لمشاريع معالجة الاختراق، وتدقيق أقوى، وجرد محسن لأصول تكنولوجيا المعلومات، وتحديد التصحيح الرسمي وإدارته، وخطط الأنظمة القديمة، والاهتمام بالتعافي من الكوارث واستمرارية الأعمال. الأهمية ليست أن الجهات التنظيمية وصفات ماسحًا معينًا. بل أنها تطلبت مشاركة مجلس الإدارة القابلة للتتبع في نظام الرقابة.
التسويات والنتائج التنظيمية: ما تم تقريره وما لم يتم
في يوليو 2019، أعلنت FTC وCFPB ومدعو الولايات وEquifax عن تسوية منسقة. وصفت FTC ما لا يقل عن 575 مليون دولار وربما يصل إلى 700 مليون دولار: 300 مليون دولار في البداية لصندوق المستهلك، وما يصل إلى 125 مليون دولار إضافية إذا لزم الأمر، و175 مليون دولار للولايات والأقاليم المشاركة، و100 مليون دولار كعقوبة مدنية لـ CFPB. يصف الإعلان متعدد الولايات لمدعي عام نيويورك المكون الحكومي والالتزامات الأمنية. استخدم إعلان التسوية الخاص بـ Equifax رقم 671 مليون دولار كحل، مما يعرض عرض الشركة للاتفاقيات والمدفوعات المتوقعة.
لا ينبغي التعامل مع هذه الإجماليات على أنها قابلة للتبادل. بعضها يشمل إضافات محتملة؛ بعضها يجمع بين عقوبات تنظيمية وإغاثة طبقية؛ لصندوق الفئة محاسبته الخاصة؛ وتعتمد قيمة خدمات المراقبة على الإقبال. الممارسة الصحيحة هي ذكر النطاق المرتبط بكل رقم بدلاً من البحث عن إجمالي تسوية واحد عالمي.
ادعت شكوى FTC أن فشل Equifax في استخدام أمان معقول شكل ممارسة غير عادلة، وأن التصريحات حول الضمانات كانت خادعة، وأن الشركة انتهكت قاعدة ضمانات قانون Gramm-Leach-Bliley. ادعت إجراءات تصحيح معيبة وجود غير كامل ومسح مهيأ بشكل غير صحيح وتجزئة وكشف اقتحام غير كافيين وبيانات اعتماد وبيانات بنص عادي وضوابط وصول ضعيفة. هذه ادعاءات، حتى لو كانت تتماشى بشكل كبير مع نتائج الكونغرس والإصلاحات المبلغ عنها من Equifax.
الأمر الموقع من FTC والنظام المقدم إلى CFPB أكثر أهمية للمساءلة المستقبلية. طلبا برنامج أمن معلومات مكتوب، وتقييمات مخاطر سنوية، وضمانات، واختبار، وضوابط مقدم الخدمة، واختبار الثغرات، واختبار الاختراق، وتقييمات مستقلة. يتطلب أمر FTC أن يذهب برنامج الأمن والتحديثات المادية إلى مجلس الإدارة أو اللجنة المختصة سنويًا على الأقل. كما يتطلب شهادة سنوية من مجلس الإدارة أو اللجنة لمدة 20 عامًا بخصوص الامتثال وعدم الامتثال المادي غير المفصح عنه.
تغير هذه الشهادة عبء الإثبات على مجلس الإدارة. لا يمكن للمديرين أن يشهدوا بمسؤولية بناءً على تأكيد الإدارة فقط. يتطلب الأمر تقييمات مستقلة، ويحدد أن المقيّمين يحددون الأدلة التي تدعم الاستنتاجات، ويقول إن النتائج لا يمكن أن تعتمد فقط على تصديقات إدارة Equifax. كما يطلب من Equifax تزويد المقيّم بمعلومات حول الشبكة بأكملها وأصول تكنولوجيا المعلومات حتى يتمكن المقيّم من تحديد النطاق. تعالج هذه الأحكام بشكل مباشر النمط المكشوف في 2017: أصول غير معروفة، وإكمال مُبلغ عنه ذاتيًا، ومسح سلبي دون تغطية موثوقة.
أنتجت دعوى المستهلكين طبقة أخرى. أنشأت اتفاقية التسوية المودعة لدى SEC التزامات بممارسات الأعمال وإغاثة المستهلكين. في 2021، أكدت محكمة الاستئناف للدائرة الحادية عشرة بشكل كبير الموافقة على التسوية مع عكس جوائز الحوافز لممثلي الفئة بموجب سابقة الدائرة. يسجل الرأي صندوق فئة أولي بقيمة 380.5 مليون دولار، ومبالغ إضافية محتملة، ومزايا مراقبة الائتمان واستعادة الهوية، وإنفاق لا يقل عن مليار دولار على أمن البيانات على مدى خمس سنوات، وتقييم مستقل، وإنفاذ من قبل محكمة المقاطعة.
لم تنتج تسوية الفئة حكمًا بمحاكمة بشأن كل ادعاء. ينص موقع التسوية الرسمي صراحةً على أن Equifax أنكرت المخالفات ولم يتم إصدار أي حكم أو نتيجة بالمخالفة في تلك التسوية. لا يمحو هذا الأوامر أو المدفوعات أو إفصاحات الشركة أو نتائج الكونغرس أو الالتزامات المودعة لدى SEC. إنه يحدد موقفها القانوني. المساءلة المسوية لا تزال مساءلة، لكنها ليست نفس المسؤولية المقضى بها بعد المحاكمة.
ما يجب أن يطلبه مجلس الإدارة من نافذة تصحيح حرجة
يدعم سجل Equifax حزمة أدلة ملموسة للمجالس المستقبلية. يجب أن تبدأ عندما يصل تنبيه حرج وتبقى مفتوحة حتى يتم إصلاح التعرض أو قبوله رسميًا في ظل ظروف مقيدة.
أولاً، يجب على الإدارة تحديد المقام. يجب أن يحدد التقرير الخدمات المواجهة للإنترنت، ومكونات البرامج والإصدارات المتأثرة، والمالكين، وتصنيفات البيانات، ومسارات الشبكة، والثقة في تغطية الجرد. يجب الإبلاغ عن المناطق غير المعروفة على أنها غير معروفة، وليس عدها نظيفة.
ثانيًا، يجب أن تكون الملكية إيجابية. يجب أن يقبل المالكون التقنيون والتجاريون المحددون المهمة. قائمة التوزيع هي آلية إخطار، وليست مساءلة. إذا كان المالك غائبًا، أو تغير دوره، أو لم يقر بالتوجيه، يجب أن يحدث التصعيد قبل انتهاء الموعد النهائي للتصحيح.
ثالثًا، يجب أن يكون التحقق مستقلاً عن التغيير. يمكن للفريق الذي يقوم بتثبيت التصحيح تقديم دليل على النشر، لكن رقابة أخرى يجب أن تتحقق من غياب الثغرة. للإطارات المضمنة، قد يتطلب ذلك مسحًا مصادقًا، أو دليل تركيب البرامج، أو قوائم البناء، أو فحصًا مباشرًا. يجب أن يظهر أي قيد للماسح بجانب النتيجة.
رابعًا، يجب أن تغير الاستثناءات الهندسة المعمارية. إذا تعذر تصحيح نظام حرج خلال النافذة المطلوبة، يجب أن يحدد الاستثناء السبب، ومن قبل المخاطرة، ومتى ينتهي، وما هي الضوابط التعويضية التي تقلل التعرض. إزالة الوصول إلى الإنترنت، أو تعطيل الميزة المعرضة، أو تقييد الطلبات، أو عزل الخدمة، أو تشديد الخروج، أو تقيد الوصول إلى قاعدة البيانات قد يقلل المخاطرة أثناء استمرار الاختبار. الاستثناء دون تغيير تعويضي هو قرار مؤجل.
خامسًا، يجب على مجالس الإدارة رؤية نصف قطر الانفجار. لكل تطبيق حرج قابل للوصول خارجيًا، يجب على الإدارة إظهار قواعد البيانات ومشاركات الملفات وبيانات الاعتماد والوظائف الإدارية التي يمكن الوصول إليها بعد الاختراق. يجب اختبار الامتياز الأقل والتجزئة من هوية التطبيق، وليس افتراضها من مخطط الشبكة.
سادسًا، تحتاج ضوابط الكشف إلى دليل صحي. يجب مراقبة صلاحية الشهادة، وتغطية الاستشعار، وتدفق السجل، وقدرة فك التشفير، وزمن التنبيه، والاحتفاظ كضوابط في حد ذاتها. ينبغي لجهاز أمني لا يستطيع فحص حركة المرور أن يبلغ عن فشل مرئي ويخلق تصعيدًا، وليس أن يظل ممثلاً كتغطية صامتة.
سابعًا، يجب ربط نتائج المراجعة القديمة بالحوادث الحالية. عندما تعرض ثغرة حرجة نفس الحالة المحددة في مراجعة سابقة، يجب أن يرى مجلس الإدارة هذه العلاقة فورًا. النتائج المتكررة ليست تراكمًا روتينيًا؛ إنها دليل على أن المعالجة السابقة لم تغير البيئة التشغيلية.
ثامنًا، يجب أن يتضمن تخطيط الاستمرارية فشل الثقة. يجب أن تغطي الخطة إجراءات العملاء والحكومة إذا تم كشف البيانات، أو إذا لم تعد طريقة الهوية موثوقة، أو إذا كان يجب عزل خدمة بينما تبقى المنصة الأساسية متصلة. يجب اختبار الإخطار على نطاق المستهلك، ومجالات الاستجابة المصادق عليها، وسعة الاتصال، وإخطارات العقود، ودعم العملاء الأصغر قبل الاختراق.
هذه المتطلبات ليست حجة للمديرين لإدارة التصحيحات. إنها حجة للمديرين لحوكمة النظام الذي يدعي أن التصحيحات تحت السيطرة. دور مجلس الإدارة هو تحديد تحمل المخاطر، وطلب تقارير موثوقة، وتحدي النقاط العمياء المشتركة، وتعيين مساءلة تنفيذية، وضمان أن الاستثناء الحرج لا يمكن أن يختفي داخل التعقيد التشغيلي.
اختبار المساءلة الدائم
غالبًا ما يتم تذكر اختراق Equifax كتصحيح كان متاحًا ولكن لم يتم تطبيقه. الدرس الأكثر ديمومة هو أن كل ضمانة ظاهرية كانت تعتمد على أدلة لم تكن الشركة تمتلكها بشكل موثوق. وصل التنبيه إلى المنظمة ولكن ليس إلى فريق التطبيق المسؤول. كانت قاعدة 48 ساعة موجودة لكنها افتقرت إلى الإقرار والإغلاق. تم تشغيل المسح لكنه لم يغطِ المكون. كانت تكنولوجيا المراقبة موجودة لكنها لم تستطع فحص حركة المرور. كان للبوابة وظيفة محددة لكنها يمكن أن تصل إلى بيانات أكثر بكثير مما تتطلبه تلك الوظيفة. كانت نتائج المراجعة موجودة لكن لم يظهر أنها حُلت بشكل مستقل.
حرك سجل ما بعد الاختراق المساءلة إلى الأعلى. تغيرت الأدوار الإدارية. توسعت مسؤوليات لجنة مجلس الإدارة. أدرجت قرارات الحوافز عواقب الأمن السيبراني. طلبت الجهات التنظيمية الحكومية أعمال مخاطر ومعالجة معتمدة من مجلس الإدارة. طلبت الأوامر الفيدرالية برامج أمنية طويلة الأجل، وتقييمات مستقلة، وشهادة سنوية. وضعت تسوية المستهلك إنفاقًا كبيرًا والتزامات قابلة للتنفيذ من قبل المحكمة حول المعالجة.
لا يثبت أي من ذلك أن الاختراقات الكبيرة يمكن القضاء عليها بإضافة اجتماعات مجلس الإدارة أو الشهادات. إنه يظهر ما يجب أن تجعله الحوكمة قابلاً للملاحظة. يجب أن يكون مجلس الإدارة قادرًا على تتبع تنبيه حرج إلى كل أصل متأثر، وكل مالك مسؤول، وكل تغيير منفذ، وكل تحقق مستقل، وكل استثناء مؤقت، وكل مسار متبقٍ للبيانات الحساسة. عندما تكون هذه السلسلة غير مكتملة، فإن الحالة الصحيحة ليست خضراء. إنها مخاطرة غير محلولة.
بالنسبة للوكالات العامة والشركات الصغيرة والمتوسطة، توسع القضية أيضًا الاستمرارية إلى ما بعد التوفر. يمكن لوسيط البيانات البقاء متصلاً بينما يفقد العملاء الثقة في أدلة الهوية، ويعلقون العقود، ويضيفون ضوابط الاحتيال، ويعيدون توجيه الموظفين إلى المعالجة. أصغر المنظمات النهائية والمستهلكين الأفراد غالبًا ما تكون لديهم أقل قدرة على استيعاب هذا العمل. اعتمادهم جزء من بصمة مخاطر المزود حتى عندما لا يكون مرئيًا في مقياس وقت تشغيل المزود.
لذلك يظل اختراق Equifax معيارًا لمساءلة مجلس الإدارة لأن العيب الأولي كان عاديًا والعواقب كانت استثنائية. كانت الثغرة عامة. كان الإصلاح متاحًا. كان الموعد النهائي الداخلي قصيرًا. ما فشل هو قدرة المؤسسة على إثبات أن تعليماتها الخاصة قد غيرت الأنظمة التي تهم.

