الملخص

  • كشفت Apache عن ثغرة Struts حرجة وقدمت إصدارات مصححة في 7 مارس 2017. أصدرت Equifax تعليمات تصحيح لمدة 48 ساعة، لكن بوابة نزاعاتها عبر الإنترنت ظلت ضعيفة لأن الشركة لم تكن تمتلك جردًا موثوقًا به، ولم تصل إلى مالك التطبيق الصحيح أو تربطه، وعاملت فحصًا ضعيف التوجيه كدليل على عدم التعرض.
  • بمجرد دخول المهاجمين عبر البوابة، أدى الضعف في التجزئة واستخدام بيانات الاعتماد على نطاق واسع وحوكمة البيانات غير الكافية إلى تضخيم الحادثة. كما أدى فشل شهادة في مسار فحص حركة المرور المشفرة إلى تأخير الكشف حتى نهاية يوليو. لذا أصبح الخرق اختبارًا لمسؤولية الإدارة قبل أن يصبح اختبارًا للاستجابة للحوادث.
  • يجب فصل الملف القانوني حسب الوضع. تقارير الكونغرس وGAO تصف إخفاقات الرقابة؛ دعوى FTC تذكر مزاعم؛ أوامر الموافقة للولايات في 2018 والفيدرالية في 2019 تفرض التزامات؛ لائحة الاتهام الجنائي تزعم سلوك المهاجمين؛ وتمت الموافقة على تسوية المستهلكين دون محاكمة، مما يحل كل دعوى متنازع عليها.
  • الدرس المستدام لمجلس الإدارة هو قائم على الأدلة. مهلة سياسية، بريد إلكتروني جماعي، نتيجة ماسح ضوئي، أو لون لوحة القيادة لا تشكل إغلاقًا. يحتاج المسؤولون إلى دليل على أن الأصول الحرجة معروفة، وأن المالكين المعينين قبلوا المهمة، وأن المعالجة تم التحقق منها مستقلاً، وأن الاستثناءات كانت محدودة زمنيًا، وأن المسار المتبقي للبيانات الحساسة كان مقيدًا.

كان الخرق سلسلة ضوابط، وليس مجرد تصحيح ضائع

الوصف الأقصر لخرق Equifax دقيق لكنه غير كامل: فشلت الشركة في تصحيح ثغرة Apache Struts المكشوفة على الإنترنت، استغلها المهاجمون، وسرقت المعلومات الشخصية لحوالي 147 مليون شخص. هذا الوصف يحدد نقطة الدخول. لا يشرح لماذا ترك إعلان عام، وتصحيح من المورد، وتنبيه داخلي حرج، ومهلة 48 ساعة المعلنة وكالة ائتمان كبيرة معرضة لأشهر.

الملف الأكثر اكتمالاً يظهر تسلسلًا. نشرت Apache مشكلة حرجة لتنفيذ التعليمات البرمجية عن بعد وأوصت بإصدارات Struts المصححة. تلقت Equifax تحذيرًا وأرسلت تعليمات داخلية. لم تؤسس التعليمات ملكية حلقة مغلقة. كانت الشركة تفتقر إلى جرد موثوق به لأماكن تشغيل البرنامج المتأثر. لم يبحث فحص بعمق كافٍ للعثور على المكون الضعيف. تم التعامل مع غياب النتيجة كغياب للتعرض. لم يجبر أي ضابط تعويضي على مراجعة يدوية لتطبيق النزاعات المكشوف على الإنترنت. عندما دخل المهاجمون لاحقًا، كان التطبيق قادرًا على الوصول إلى أنظمة تتجاوز ما هو ضروري لوظيفته. مكنت بيانات اعتماد في مشاركة ملفات قابلة للوصول من حركة أوسع. لم تكن البيانات الحساسة مقيدة بما فيه الكفاية.

لم يتم فحص حركة المرور المشفرة لأن شهادة في مسار المراقبة كانت منتهية الصلاحية. لم يتم الكشف إلا بعد استبدال تلك الشهادة.

لهذا السبب يظل الخرق حالة من مسؤولية مجلس الإدارة وليس مجرد حالة من إدارة التصحيح. التصحيح هو قطعة برمجية. ضمان التصحيح هو نظام إدارة. يعتمد على الجرد، والملكية، والتصعيد، وتنفيذ التغييرات، والتحقق، وإدارة الاستثناءات، والمراقبة، والهندسة المعمارية، والأدلة. عندما تفشل العديد من هذه الوظائف في نفس الاتجاه، يمكن للمؤسسة الامتثال للأجزاء المرئية من عملية لها مع بقائها معرضة بشكل مادي.

الملف العام قوي لكنه غير موحد. كان تقرير الأغلبية للجنة الرقابة والإصلاح الحكومي بمجلس النواب وتقرير موظفي اللجنة الفرعية الدائمة للتحقيقات بمجلس الشيوخ تحقيقات تشريعية، وليس آراء قضائية. اعتمد فحص مكتب محاسبة الحكومة على مستندات Equifax والأدلة الجنائية بالإضافة إلى الوكالات الفيدرالية العميلة. تحتوي دعوى FTC على مزاعم مقدمة في دعوى قضائية. تحتوي إيداعات SEC على رواية الإدارة والمعلومات المالية. تحدد أوامر الموافقة التزامات مع الحفاظ على المواقف القانونية المحددة. تستخدم هذه المقالة كل مصدر لما يمكنه إثباته ولا تدمج هذه الفئات في حكم واحد.

الجدول الزمني من الإشعار إلى الاختراق

التسلسل مهم لأن المسؤولية تتغير بمرور الوقت. قد تحتاج الشركة بشكل معقول إلى فترة قصيرة لتحديد الأنظمة المتأثرة واختبار التصحيح ونشره. يضعف هذا الدفاع عندما تكون مشكلة حرجة معروفة بأنها قابلة للاستغلال عن بعد، ويكون تصحيح المورد متاحًا، ويكون النظام مكشوفًا على الإنترنت، وتكون الشركة نفسها فرضت مهلة استجابة مدتها 48 ساعة.

التاريخالحدث وأهميتها للمسؤولية
7 مارس 2017نشرت Apache النشرة الأمنية S2-045 لـ CVE-2017-5638، وصنفتها كحرجة، وأوصت بالترقية إلى إصدارات Struts المصححة.
8 مارسحذرت US-CERT Equifax من الثغرة، وفقًا لتقارير الكونغرس.
9 مارسنشر فريق إدارة الثغرات والتهديدات العالمي لـ Equifax تعليمات لتصحيح الأنظمة المتأثرة خلال 48 ساعة. لم تؤسس عملية التوزيع والإقرار بأن كل مالك مسؤول قد تلقى المهمة وقبلها.
10 مارسيحدد تقرير مجلس النواب أول دليل على النشاط المتعلق بالاستغلال الذي عثر عليه الفحص الجنائي اللاحق. لم يكن هذا اكتشاف Equifax المعاصر للاختراق.
15 مارسنفذت Equifax فحصًا يهدف إلى العثور على مثيلات Struts الضعيفة. لم يُرجع أي نظام مكشوف على الإنترنت ضعيف، لكن الفحص لم يصل إلى الدليل الفرعي الذي يحتوي على المكون في بوابة النزاعات.
16 مارسنوقشت الثغرة خلال اجتماع حول التهديدات والثغرات. لم يتم التعرف على البوابة وتصحيحها بعد.
13 مايوتضع تقارير مجلس النواب ومجلس الشيوخ دخول المهاجمين إلى نظام المقابلة الاستهلاكية الآلية (ACIS) في هذا التاريخ. وفرت القذائف الويب إمكانية وصول مستمرة عن بعد.
13 مايو - 29/30 يوليواستفسر المهاجمون من قواعد البيانات وسحبوا البيانات مع بقائهم غير مكتشفين. يصف تقرير مجلس النواب فترة هجوم مدتها 76 يومًا.
29 يوليواستبدلت Equifax شهادة منتهية الصلاحية مستخدمة في مسار مراقبة حركة مرور ACIS. أصبحت حركة المرور المشبوهة مرئية على الفور تقريبًا وتم حظرها.
30 يوليوظهرت حركة مرور مشبوهة إضافية. أوقفت Equifax بوابة ACIS عن العمل، مما أنهى الوصول النشط الموصوف في التقارير.
31 يوليوخلص موظفو Equifax إلى أن المعلومات الشخصية قد تكون سحبت. أبلغ مدير نظم المعلومات الرئيس التنفيذي آنذاك، ريتشارد سميث، بالحادثة.
2 أغسطساستعانت Equifax بمستشارين خارجيين وMandiant، وأبلغت مكتب التحقيقات الفيدرالي.
11-24 أغسطسانتقل التحقيق الجنائي من قلق بشأن قاعدة بيانات تحتوي على كميات كبيرة من المعلومات الشخصية إلى تأكيد أن حجمًا كبيرًا قد تم الوصول إليه.
24-25 أغسطسأبلغ سميث مجلس الإدارة كاملًا عبر الهاتف، وفقًا لجدول مجلس النواب.
4 سبتمبرجمعت Equifax وMandiant قائمة أولية تضم حوالي 143 مليون مستهلك أمريكي متأثر.
7 سبتمبرأعلنت Equifax الحادثة علنًا عبر ملحق للنموذج 8-K وأطلقت موقع ويب مخصصًا ومركز اتصال.
15-26 سبتمبرأعلن مدير نظم المعلومات ومسؤول الأمن عن تقاعدهما، تبعهما تقاعد سميث كرئيس ومدير تنفيذي.
2 أكتوبرأعلنت Equifax أن العدد السكاني الأمريكي المحدد زاد بمقدار 2.5 مليون. تم فصل أحد كبار المسؤولين التكنولوجيين بسبب الفشل في نقل تنبيه التصحيح.
1 مارس 2018حددت Equifax 2.4 مليون مستهلك أمريكي إضافي سُرقت أسماؤهم وجزء من معلومات رخصة القيادة، مما رفع الإجمالي المبلغ عنه عادةً إلى حوالي 147.9 مليون.

يختلف الرقم بين المستندات لأن السكان المتأثرين تم تحسينهم بمرور الوقت ولأن بعض المستندات تقرب الإجمالي. أشار إعلان Equifax المودع لدى SEC في 7 سبتمبر إلى حوالي 143 مليون مستهلك أمريكي ووصف وصولًا غير مصرح به من منتصف مايو إلى يوليو. تستخدم المستندات اللاحقة عادةً حوالي 147 مليونًا؛ يجمع تقرير مجلس النواب إلى 148 مليونًا. الاستنتاج المسؤول ليس أن رقمًا يبطل الآخرين. بل إن النطاق كان مؤقتًا وقت الإفصاح واتسع مع استمرار التحليل.

7 مارس: إشعار مورد حرج مع تصحيح متاح

الثغرة نفسها لم تكن غامضة أو مقدمة دون تصحيح. وصفت نشرة Apache S2-045 إمكانية تنفيذ التعليمات البرمجية عن بعد عند تحميل الملفات عبر محلل Jakarta Multipart، وأعطتها أعلى تصنيف حرج، وحددت فروع Struts المتأثرة، وأوصت بالترقية إلى 2.3.32 أو 2.5.10.1. وقدمت أيضًا خيارات التفافية. يصف إدخال قاعدة بيانات الثغرات الوطنية لـ CVE-2017-5638 رؤوس HTTP التي يتحكم فيها المهاجم تصل إلى معالجة استثناءات فاشلة ورسائل خطأ، ويسجل درجة أساس CVSS 3.1 حرجة تبلغ 9.8.

يستحق التمييز بين تاريخ الإفصاح وتاريخ نشر NVD الاحتفاظ به. كانت نشرة Apache والإصدارات المصححة متاحة في 7 مارس. تشير NVD إلى 10 مارس كتاريخ النشر. يعتمد تسلسل الكونغرس على إفصاح المورد واتصالات US-CERT التي تلقتها Equifax. لذلك يجب على مجلس الإدارة الذي يفحص الحادثة أن يسأل متى دخل تصحيح قابل للتنفيذ من المورد عملية الشركة، وليس متى أنهت كل قاعدة بيانات في مجرى النشر دورة نشرها.

استجابت Equifax. أرسل فريق الأمان رسالة داخلية واسعة في 9 مارس تأمر الموظفين المعنيين بتطبيق التصحيح خلال 48 ساعة. يدحض هذا الإجراء الادعاء بأن الشركة تجاهلت الإشعار تمامًا. ويكشف أيضًا عن الضعف المركزي للضابط: تم التعامل مع نشر تعليمات كآلية تنفيذ.

وفقًا لادعاءات FTC، شارك أكثر من 400 موظف في عملية توزيع التصحيحات الحرجة، لكن السياسة لم تطلب من المستلمين الإقرار بموجب التوجيه أو تأكيد التطبيق. تضيف تحقيقات الكونغرس فشل توجيه أكثر تحديدًا. لم يكن المطور المسؤول عن ACIS مدرجًا في قائمة التنبيه؛ تلقى مسؤول كبير في تلك السلسلة الإشعار لكنه لم ينقله إلى المطور أو الفريق. قامت Equifax لاحقًا بفصل مسؤول كبير لعدم نقله البريد الإلكتروني. عالج إجراء الموظفين هذا فشلًا، لكنه لم يجب على سؤال لماذا يعتمد ضابط حرج على خطوة نقل واحدة.

كان من الممكن أن تحول عملية تصحيح طوارئ دفاعية الإشعار إلى سجل مسؤول: المنتج والإصدارات المتأثرة؛ المثيلات القابلة للوصول خارجيًا؛ المالك التجاري؛ المالك الفني؛ مستوى المخاطرة؛ المهلة المطلوبة؛ سجل التغيير؛ طريقة التحقق؛ سلطة الاستثناء؛ الضوابط التعويضية؛ والتصعيد إذا بقي حقل دون حل. كانت لعملية Equifax مهلة لكنها تفتقر إلى أدلة إغلاق موثوقة. لذا كانت قاعدة الـ 48 ساعة موجودة كسياسة دون أن تصبح نتيجة موثوقة.

كان جرد الأصول أول ضابط مفقود

الفشل في تحديد ACIS كمتأثر لم يكن شذوذ فحص غير متوقع في بيئة خاضعة للرقابة بخلاف ذلك. كان تدقيق إدارة التصحيح الخاص بـ Equifax في عام 2015 قد حدد نقاط ضعف أصبحت لاحقًا مركزية في الخرق. يشير تقرير مجلس الشيوخ إلى أن هذا التدقيق أظهر أن الشركة لم تتبع جدول التصحيح الخاص بها، وكان لديها عملية تصحيح تفاعلية، واستخدمت "نظام شرف" لا يضمن التثبيت، وتفتقر إلى جرد كامل لأصول تكنولوجيا المعلومات. ويشير أيضًا إلى أنه لم يكتمل أي تدقيق متابعة رسمي بحلول أغسطس 2017 وأن الأشخاص الذين تمت مقابلتهم لا يتذكرون تدقيقًا آخر لإدارة التصحيح خلال فترة ولايتهم.

يُعيد تقرير مجلس النواب إنتاج النتيجة العملية لفجوة الجرد: بدون قائمة دقيقة للأصول وتوثيق الشبكة، كان من الصعب ضمان أن الأنظمة تم تصحيحها وتكوينها وفحصها. يشير التقرير إلى أن خطة المعالجة لعام 2015 كان لها تاريخ اكتمال تقديري في 30 يونيو 2017. وقت الخرق، وجد تحقيق مجلس الشيوخ أن الجرد الكامل لا يزال غير جاهز.

يعني الجرد في هذا السياق أكثر من قائمة الخوادم. أثرت CVE-2017-5638 على إطار برمجي مضمن في التطبيقات. كان على الجرد المفيد ربط التطبيقات المكشوفة على الإنترنت بمكوناتها الجارية وإصداراتها وأصحابها ووصولها إلى البيانات وتبعياتها ومواقع نشرها. يمكن للسجل المادي أن يُظهر وجود خادم ACIS مع فشله في الكشف عن وجود مكتبة Struts ضعيفة بالداخل. كان هدف الضابط هو رؤية البرامج والخدمات، وليس فقط محاسبة المعدات.

جعل التعقيد الموروث هذا العمل أكثر صعوبة لكنه أكثر أهمية. يصف تقرير مجلس النواب ACIS كنظام مخصص تعود جذوره إلى السبعينيات، يعمل في بيئة معقدة تشكلت عبر سنوات من الاستحواذ والنمو. يمكن للتعقيد أن يفسر لماذا الجرد مكلف وغير كامل. لا يمكن بأمان أن يكون استثناءً لمعرفة ما يعمل على تطبيق مكشوف على الإنترنت يتصل ببيانات المستهلك الحساسة. عندما لا يكون الاكتشاف الكامل ممكنًا بعد، يجب أن يكون الاستجابة التعويضية هي العزل الأقوى، ضوابط خروج أكثر صرامة، مراجعة يدوية للرمز والتكوين، أو إزالة مؤقتة للوصول الخارجي.

المقارنة في تقرير مجلس الشيوخ مفيدة لكن لا ينبغي المبالغة فيها. وجدت أن TransUnion وExperian واجهتا أيضًا إشعار Struts، واستخدمتا الجرد وطرق فحص أو مراجعة متعددة، وحددتا أو خففتا المثيلات المتأثرة. هذا لا يثبت أن برامج الأمان الشاملة كانت لا تشوبها شائبة. يظهر أن نتيجة Equifax لم تكن خاصية حتمية للثغرة. نظراؤهم الذين واجهوا نفس الإشعار العام حققوا نتائج تشغيلية مختلفة ماديًا.

لأغراض مجلس الإدارة، يجب صياغة مشكلة الجرد كبيان تغطية المخاطر. "لقد فحصنا الشبكة" ليس ذا معنى بدون مقام. يحتاج المسؤولون إلى معرفة النسبة المئوية للخدمات القابلة للوصول خارجيًا الممثلة في الجرد؛ النسبة المئوية التي لها أصحاب معينون؛ ما هو تكوين البرنامج المعروف؛ ما هي الأنظمة الموروثة التي لا يمكن تقييمها تلقائيًا؛ وكيف يتم عزل الاستثناءات. فحص مجال غير معروف ينتج نشاطًا، وليس تأكيدًا.

فشل الفحص حول عدم اليقين إلى ثقة خاطئة

في 15 مارس، نفذت Equifax فحصًا آليًا يهدف إلى تحديد الأنظمة الضعيفة لمشكلة Struts. لم يجد أيًا منها. يشير تقرير مجلس النواب إلى أن الماسح عمل على دليل الجذر ولم يستكشف الدليل الفرعي حيث تم إدراج Struts. يشير تقرير مجلس الشيوخ أيضًا إلى أن الاستخدام المتكرر للأداة لم يبحث على مستويات الشبكة المناسبة. تدعي دعوى FTC أن الماسح لم يتم تكوينه للبحث عن جميع الأصول التي يحتمل أن تكون ضعيفة وأن Equifax تفتقر إلى جرد دقيق يحدد أين يجب أن يعمل الماسح.

لا تثبت أي من هذه المستندات أن ماسحات الثغرات غير فعالة بطبيعتها. إنها تثبت نقطة أضيق وأكثر نتائجًا: النتيجة السلبية لها قيمة فقط فيما يتعلق بتغطية الاختبار وقدرة الأداة. إذا كان يمكن أن يوجد مكون متأثر أسفل عمق بحث الماسح، فإن "لم يتم العثور على ثغرات" يعني "لم يتم العثور على ثغرات في هذا التكوين والنطاق". هذا لا يعني "الثغرة غير موجودة".

التمييز أساسي في لغة التدقيق لكن غالبًا ما يُفقد في تقارير الإدارة. النتيجة الحمراء تولد عملًا. النتيجة الخضراء تغلق العمل. إذا كان يمكن إنتاج الأخضر بنطاق غير كامل، فإن لوحة القيادة تكافئ الجهل. المعالجة الصحيحة لنتيجة سلبية غير محققة هي عدم اليقين المتبقي. لمشكلة حرجة، قابلة للاستغلال عن بعد على خدمة مكشوفة على الإنترنت، يجب أن يؤدي عدم اليقين هذا إلى طريقة ثانية: فحص مصادق، تحليل تكوين البرامج، مراجعة المصدر والبناء، فحص العملية، بحث الحزم، شهادة المالك المدعومة بالأدلة، أو اختبار مباشر للتطبيق في بيئة خاضعة للرقابة.

كان غياب طريقة ثانية مهمًا لأن توجيه التصحيح نفسه لم يكن حلقة مغلقة. الموظف ذو المسؤولية المباشرة عن التطبيق لم يتلق التعليمات، الجرد المركزي كان غير كامل، والماسح يمكن أن يفوت المكونات المتداخلة. لم تكن هذه ضمانات مستقلة. كانت ثلاثة ضوابط تشترك في نفس النقطة العمياء. اعتمد كل منها على معرفة دقيقة بملكية التطبيق وتكوينه. لذا فإن تكرارها الظاهري كان أضعف مما بدا.

هذه مشكلة متكررة لمجالس الإدارة. يمكن للإدارة تقديم عدة ضوابط كطبقات دون اختبار ما إذا كانت تفشل لنفس السبب. قاعدة بيانات الأصول، قائمة بريدية، ماسح ثغرات، ولوحة قيادة التصحيح يمكن أن تنشأ جميعها من نفس سجل الملكية غير الكامل. إذا أغفل السجل تطبيقًا موروثًا، يمكن للضوابط الأربعة الإشارة إلى النجاح معًا. يجب أن يسأل فحص المخاطر من قبل مجلس الإدارة ليس فقط عن عدد الضوابط الموجودة، بل ما إذا كانت مصادر بياناتها وطرق فشلها مستقلة.

13 مايو إلى 30 يوليو: نقطة الدخول أصبحت مسارًا للوصول إلى البيانات

تقارير الكونغرس تضع دخول المهاجمين الفعلي إلى ACIS في 13 مايو. الإعلان اللاحق من وزارة العدل عن لائحة اتهام وجه تهمًا لأربعة أعضاء من جيش التحرير الشعبي الصيني بالتسلل. تدعي لائحة الاتهام أن المتهمين استغلوا Struts، وأجروا استطلاعًا، وحصلوا على بيانات اعتماد، واستفسروا من قواعد البيانات، وضغطوا وقسموا الملفات المسروقة، ووجهوا حركة المرور عبر بنية تحتية في عدة دول، وحاولوا محو الآثار. هذه مزاعم في وثيقة اتهام جنائي؛ المتهمون بريئون حتى تثبت إدانتهم. لائحة الاتهام ذات صلة بالسلوك المنسوب للمهاجمين، وليس لتحويل المزاعم إلى حقائق مقضى بها.

يشير تقرير مجلس النواب إلى أن المهاجمين قاموا بتثبيت قذائف ويب، مما يوفر لهم وسيلة مستدامة قائمة على الويب للتحكم في النظام المخترق. ثم وجدوا ملفًا يحتوي على أسماء مستخدمين وكلمات مرور غير مشفرة. احتاج ACIS إلى الوصول إلى ثلاث قواعد بيانات لغرضه التجاري، لكنه لم يكن مجزءًا عن قواعد البيانات غير ذات الصلة. باستخدام بيانات الاعتماد، وصل المهاجمون إلى 48 قاعدة بيانات، وأرسلوا حوالي 9000 استعلام، وحددوا المعلومات الشخصية غير المشفرة مئات المرات.

تدعو دعوى FTC نفس النقطة المعمارية في شكل ادعاء. تذكر أن المهاجمين تمكنوا من عبور عشرات قواعد البيانات غير ذات الصلة بسبب ضعف التجزئة، وأن مشاركة ملفات غير آمنة متصلة بـ ACIS تحتوي على بيانات اعتماد إدارية بنص واضح. تزعم أن المهاجمين لم يكونوا بحاجة إلى أدوات معقدة للتنقل عبر الشبكة. هذا مهم لأن شدة ثغرة الدخول هي جزئيًا وظيفة لما يمكن للتطبيق المخترق الوصول إليه بعد الدخول.

غالبًا ما توصف التجزئة كتفصيل فني، لكنها تعبر عن قرار إداري بشأن نصف قطر الانفجار. بوابة نزاعات مكشوفة على الإنترنت يجب أن يكون لها فقط مسارات الشبكة، أذونات قاعدة البيانات، ووصول الملفات اللازمة لمعالجة النزاعات. إذا كانت تحتاج إلى ثلاث قواعد بيانات، يجب أن يقع العبء على أي تصميم يسمح لبيانات الاعتماد التي تم الحصول عليها هناك بفتح العشرات غيرها. يجب أن تفترض الضوابط أن تطبيقًا عامًا يمكن أن يتعرض في النهاية وتمنع هذا الحدث من أن يصبح وصولًا مؤسسيًا واسعًا.

بيانات الاعتماد جزء من نفس الحدود. تخزين بيانات اعتماد إدارية قابلة لإعادة الاستخدام بنص واضح على مشاركة قابلة للوصول ينهار الفصل بين اختراق التطبيق وإدارة قاعدة البيانات. الممارسة الأفضل تفصل هويات الخدمة، وتقيد كل هوية بمورد وإجراء محددين، وتستخدم تخزين أسرار مُدار، وتدور بيانات الاعتماد، وتراقب الامتيازات، وتمنع حساب التطبيق من تعداد مخازن البيانات غير ذات الصلة.

وفرت حوكمة البيانات المضاعف النهائي. تدعي دعوى FTC أن Equifax خزنت كميات كبيرة من أرقام الضمان الاجتماعي ومعلومات بطاقة الدفع بنص واضح ونسخت معلومات حساسة إلى بيئات التطوير والاختبار القابلة للوصول بما يتجاوز الحاجة التجارية. لخص GAO تحليل Equifax الخاص بعد الحادثة كأربعة عوامل ميسرة: التحديد، الكشف، تجزئة الوصول إلى قاعدة البيانات، وحوكمة البيانات. هذه الصياغة أكثر فائدة من اختزال الحدث إلى التصحيح. سمح التحديد باستمرار التعرض. سمح الكشف باستمرار النشاط. سمحت التجزئة بالتمدد. زادت حوكمة البيانات مما يمكن أخذه وقيمته.

كانت الشهادة منتهية الصلاحية فشلًا في ضابط المراقبة

كان فحص حركة المرور المشفرة ضابطًا آخر موجودًا في التصميم لكنه فشل في التشغيل. تطلب جهاز مراقبة ACIS شهادة صالحة لفك تشفير وفحص حركة المرور ذات الصلة. كانت الشهادة منتهية الصلاحية. عندما استبدلتها Equifax في 29 يوليو كجزء من عمل شهادة أوسع، لاحظ فريق الأمان على الفور تقريبًا حركة مرور صادرة مشبوهة. تم حظر الوجهة المشبوهة؛ ظهرت حركة مرور ذات صلة في اليوم التالي؛ وتم إيقاف ACIS عن العمل.

تختلف المستندات العامة بشأن المدة، ويجب أن يظل هذا الاختلاف مرئيًا. يشير تقرير مجلس الشيوخ إلى أن الشهادة المرتبطة بالبوابة كانت منتهية الصلاحية في نوفمبر 2016، أي حوالي ثمانية أشهر قبل الاستبدال. تدعي دعوى FTC أنها كانت منتهية الصلاحية لمدة عشرة أشهر على الأقل قبل الاكتشاف. يشير تقرير مجلس النواب إلى أن جهاز المراقبة كان غير نشط لمدة 19 شهرًا بسبب شهادة منتهية الصلاحية. قد يعكس هذا خطوط أساس مختلفة، أو أجهزة، أو أوصافًا في الملف الأساسي. الاستنتاج القوي هو أن الفحص كان معطلًا لعدة أشهر، وليس أنه يمكن تأكيد مدة دون تحفظ.

يضيف تقرير مجلس النواب نطاقًا: أكثر من 300 شهادة أمان كانت منتهية الصلاحية، بما في ذلك 79 مرتبطة بمراقبة مجالات حرجة للنشاط. يصف تقرير مجلس الشيوخ مسؤولية الشهادات على أنها تُدار بشكل فردي ويشير إلى أن برنامج دورة حياة مركزي كان لا يزال قيد التنفيذ. لم يكن هذا مجرد تاريخ تم إهماله من قبل مشغل. كان دليلاً على أن المنظمة لم تكن لديها بعد اكتشاف موثوق، ملكية، تجديد، وتنبيه فشل الشهادات عبر الحظيرة.

تنتمي إدارة الشهادات إلى نفس سلسلة الضمان مثل التصحيحات. كلاهما يتضمن أصولاً ذات حالات صلاحية أو ضعف معروفة، وأصحاب معينين، ومهل زمنية، وتجديد أو تصحيح آلي عند الإمكان، وتصعيد عندما لا ينتهي الإجراء. كلاهما يمكن أن ينتج فشلًا صامتًا خطيرًا. خدمة ويب بشهادة عامة منتهية الصلاحية مرئية لأن المستخدمين يرون أخطاء. شهادة منتهية الصلاحية في مسار مراقبة يمكن أن تكون أسوأ: الخدمة تبدو تعمل بينما يفقد المدافع الرؤية.

الكشف الفوري تقريبًا بعد الاستبدال مهم بشكل خاص. لا يثبت أن كل طلب ضار سابق كان سيتم اكتشافه إذا بقيت الشهادة صالحة. يظهر أن ضابطًا تمتلكه Equifax بالفعل أنتج أدلة مفيدة بمجرد استعادته. لذلك لم يكن الاستثمار في تكنولوجيا المراقبة كافيًا. الصيانة التشغيلية هي التي تحدد ما إذا كان هذا الاستثمار يعمل.

كان الاكتشاف حاسمًا؛ كان الإفصاح اختبارًا تشغيليًا ثانيًا

بمجرد أن أصبحت حركة المرور المشبوهة مرئية، تصرفت Equifax بسرعة لحظر الوجهات، والتحقيق، وإيقاف ACIS عن العمل. أبلغت الشركة كبار المسؤولين التكنولوجيين والأمنيين، واستعانت بمستشارين خارجيين وMandiant، واتصلت بمكتب التحقيقات الفيدرالي، وبدأت في تحديد ما إذا كانت المعلومات الشخصية قد سحبت. لا ينبغي محو هذا الجزء من الملف بالإخفاقات السابقة. كان احتواء الحادثة بعد 29 يوليو أسرع بشكل ملحوظ من إغلاق الثغرة بعد 7 مارس.

التأخير بين الاكتشاف والإعلان العام يحتاج إلى سياق. لم تكن Equifax تعرف السكان المتأثرين في 29 يوليو. كان على عمل Mandiant إعادة بناء الوصول عبر بيئة معقدة، وتحديد أنواع البيانات، وتحديد الأشخاص المتأثرين. يشير جدول مجلس النواب إلى أن التحقيق حدد جدولاً بكميات كبيرة من المعلومات الشخصية بحلول 11 أغسطس، وأكد وصولًا كبيرًا بحلول 24 أغسطس، وأكمل القائمة الأولية لـ 143 مليون مستهلك أمريكي بحلول 4 سبتمبر. تبع الإعلان العام في 7 سبتمبر.

هذا التسلسل لا يلغي الأسئلة حول التصعيد. تم إبلاغ الرئيس التنفيذي في 31 يوليو، بينما تم إبلاغ مجلس الإدارة بأكمله في 24-25 أغسطس، وفقًا لتقرير مجلس النواب. يظهر لماذا "ستة أسابيع بعد الاكتشاف" ليست وحدها دليلاً على تأخير غير قانوني في الإفصاح. تختلف الالتزامات القانونية، وكان النطاق لا يزال قيد التحديد. أقوى انتقاد في الملف العام يتعلق بالاستعداد للاستجابة بدلاً من استنتاج قضائي بأن الجدول الزمني انتهك قانون إفصاح محدد.

الإعلان الأولي، المودع كملحق للنموذج 8-K لـ Equifax، ذكر أن مجرمين استغلوا ثغرة في تطبيق ويب أمريكي ووصف فئات البيانات المتأثرة. ذكر أيضًا أن Equifax لم تجد أي دليل على نشاط غير مصرح به في قواعد بيانات تقارير الائتمان الاستهلاكي أو التجاري المركزية. يمكن أن يتعايش هذا البيان مع النتيجة اللاحقة أن المهاجمين وصلوا إلى العديد من قواعد البيانات خارج ACIS: "لا دليل" بشأن الأنظمة المركزية المذكورة ليس مثل التأكيد على عدم الوصول إلى أي قاعدة بيانات أخرى.

لم تعمل بنية الاستجابة الاستهلاكية بشكل جيد تحت الطلب. وجد تقرير مجلس النواب أن موقع الويب المخصص ومراكز الاتصال قد غمرتها المياه على الفور. تلقى المستهلكون أحيانًا نتائج متضاربة أو غير كاملة، ولم يتمكنوا من التسجيل، أو لم يتمكنوا من الوصول إلى ممثل. قامت Equifax بتجميع موقع الويب المنفصل في حوالي ثلاثة أسابيع وأضافت بسرعة حوالي 1500 وكيل مركز اتصال مؤقت. كان الجهد كبيرًا، لكن النتيجة كشفت فجوة في الاستمرارية: شركة نموذجها العادي كان بين الشركات بشدة لم تكن قد بنت مسبقًا قدرة أزمة على نطاق المستهلكين لحدث يؤثر على ما يقرب من نصف البلاد.

خلق المجال المنفصل أيضًا احتكاكًا بالثقة. يشير تقرير مجلس النواب إلى أنه حتى حساب وسائل التواصل الاجتماعي لـ Equifax وجه المستهلكين مرارًا إلى موقع تم تسميته بشكل مشابه أنشأه باحث أمني بعد أن قام موظف بعكس الكلمات في العنوان. لا يوجد دليل في التقرير على أن هذا الباحث سرق البيانات المقدمة؛ الحلقة مهمة لأن اتصالات الخرق يجب أن تقلل من غموض التصيد بدلاً من خلقه. قناة استجابة تطلب من الناس تقديم معلومات تعريفية يجب أن تكون سهلة المصادقة، ومختبرة تحت حمل استثنائي، ومدعومة بموظفين قادرين على الإجابة على السؤال المركزي: هل هذا الشخص متأثر؟

امتدت استمرارية القطاع العام إلى ما وراء شبكة Equifax الخاصة

لم يؤدي الخرق إلى انهيار وطني موثق لأنظمة تقارير الائتمان المركزية لـ Equifax. مع ذلك، استمرارية القطاع العام مركزية لأن الوكالات الفيدرالية كانت تستخدم Equifax للتحقق من الهوية ولأن السمات المسروقة يمكن أن تضعف الافتراضات وراء التحقق عن بعد من الهوية.

فحص GAO دائرة الإيرادات الداخلية، وإدارة الضمان الاجتماعي، ودائرة البريد الأمريكية، ثلاثة عملاء فيدراليين رئيسيين لخدمات التحقق من الهوية لـ Equifax. يشير تقريره لعام 2018 إلى أن الوكالات قامت بتقييم ضوابط Equifax، وحددت مخاوف تقنية منخفضة المستوى للمعالجة، وعدلت العقود، بما في ذلك متطلبات الإخطار بالاختراق المستقبلية. تم إنهاء عقد مع IRS. كما أفصح نموذج 10-K لـ Equifax لعام 2017 عن تدقيق متزايد، تعليق عقد حكومي، عمليات تدقيق أمنية من قبل العملاء، وتأجيل أو إلغاء بعض العقود أو المشاريع.

كانت مسألة الاستمرارية أيضًا معرفية: هل يمكن للوكالات الاستمرار في معاملة معرفة التاريخ الائتماني للشخص كدليل على أن الشخص هو من يدعي؟ وجد مراجعة GAO لعام 2019 حول التحقق من الهوية عبر الإنترنت الفيدرالي أن البيانات المسروقة في خروقات مثل خرق Equifax يمكن استخدامها للإجابة على أسئلة التحقق القائمة على المعرفة. لاحظ أن إرشادات NIST لعام 2017 منعت فعليًا الوكالات الفيدرالية من استخدام التحقق القائم على المعرفة للتطبيقات الحساسة وفحص بدائل للخدمات الموجهة للجمهور.

هذا نوع مختلف من تعطيل الخدمة. يمكن للخوادم البقاء متاحة بينما تفقد طريقة المصادقة مصداقيتها. يجب على الوكالات بعد ذلك تغيير العقد، وإعادة تصميم التحقق من الهوية، وإضافة فحوصات مستندية أو شخصية، أو قبول مخاطر احتيال أعلى. تؤثر هذه التغييرات على الوصول إلى المزايا والخدمات، خاصة للأشخاص الذين يفتقرون إلى الأجهزة، والمستندات، والاتصال، أو التنقل الذي قد تفترضه الطرق البديلة.

لذلك يجب على مجالس إدارة وسطاء البيانات رسم خرائط لالتزامات الاستمرارية إلى ما وراء التوفر. يمكن أن تجبر إخفاقات الخصوصية العملاء على تعليق عمليات التكامل. الشكوك في النزاهة يمكن أن تجعل البيانات غير مناسبة للقرارات. تعرض بيانات الهوية يمكن أن يبطل ممارسات المصادقة في مجرى النهري. يجب أن تظهر خريطة استمرارية مفيدة الخدمات العامة التي تعتمد على بيانات الشركة، وماذا يحتاج العملاء إلى فعله إذا فقدت البيانات أو طريقة التحقق الثقة، وكيف سيوفر المورد أدلة سريعة لقرارات العقود والمخاطر.

استمرارية المؤسسات الصغيرة والمتوسطة هي مشكلة قدرة بقدر ما هي مشكلة تقنية

تظهر المؤسسات الصغيرة والمتوسطة في نصف قطر الانفجار بشكل مختلف عن الوكالات الفيدرالية. لا يظهر الملف العام أن خرق Equifax تسبب في توقف عام للخدمات للشركات الصغيرة، وسيكون من غير الدقيق افتراض ذلك. المخاطرة الأكثر دعمًا هي أن أصحاب العمل الصغيرين، والملاك، والمقرضين، والمكاتب المهنية، ومقدمي الخدمات يشاركون في أنظمة الائتمان، والفحص، وكشوف المرتبات، والهوية دون فرق مكافحة الاحتيال، والقدرة القانونية، أو بدائل الخيارات المتاحة للمؤسسات الكبيرة.

يصف نموذج 10-K لـ Equifax لعام 2017 المعلومات العامة والتجارية، وتسجيل الائتمان، ومنع الاحتيال، والتحقق من الهوية، ومعلومات الرهن العقاري، والتحقق من التوظيف، والخدمات المتعلقة بالحكومة. كما يشير إلى أن قطاع Workforce Solutions خدم الاستخدامات الحكومية والرهن العقاري والمالية والتحقق قبل التوظيف والاتصالات. تقع هذه الخدمات في صميم القرارات التي تتخذها المؤسسات الصغيرة يوميًا، حتى عندما لا تكون الشركة الصغيرة هي العميل المباشر لـ Equifax.

يقع عبء الاستمرارية في عدة أماكن. قد يحتاج مقرض أو مالك صغير إلى التمييز بين مقدم طلب شرعي وشخص يستخدم سمات هوية مكشوفة. قد يعتمد صاحب عمل صغير على سلسلة فحص أو تحقق من الدخل لكنه يفتقر إلى النفوذ لطلب أدلة رقابة مفصلة من مورد بيانات مهيمن. قد تتحمل مؤسسة مالية محلية عبء دعم العملاء ومراجعة الاحتيال بعد خرق كبير. قد يحتاج مكتب خدمات مهنية إلى مساعدة العملاء في تجميد الائتمان، وتوثيق الخسائر، أو تصحيح السجلات. لا يتطلب أي من هذه التأثيرات أن تكون منصة Equifax غير متصلة بالإنترنت.

يعكس ملف التسوية استمرارية هذا العبء على مستوى المستهلكين. يشير موقع التسوية الرسمي لخرق Equifax إلى أن التسوية أصبحت سارية في يناير 2022، وبدأ صرف المزايا الأولية في وقت لاحق من عام 2022، واستمرت مزايا المطالبات الممتدة بعد ذلك. تسجل صفحة تسوية FTC ترتيبات مستمرة للدفع واستعادة الهوية. قد تواجه مؤسسة صغيرة تدعم الأشخاص المتأثرين هذا المسار الطويل كاسترداد متكرر للحسابات، والتوثيق، ومعالجة الاحتيال، ومساعدة الموظفين بدلاً من انهيار درامي واحد.

الدرس الرقابي العملي للمؤسسات الصغيرة والمتوسطة هو ليس إعادة إنتاج برنامج الأمان لوكالة ائتمان عالمية. بل هو تقليل الاعتماد على السمات الثابتة المكشوفة ومعرفة المسار البديل. لا ينبغي لفحوصات الهوية التعامل مع أرقام الضمان الاجتماعي، وتواريخ الميلاد، والعناوين، أو أسئلة ملف الائتمان كأسرار لمجرد أنها شخصية. يجب على العقود مع موردي الفحص، وكشوف المرتبات، والائتمان، والهوية تحديد قنوات الإخطار بالحوادث، وبدائل الخدمة، وحدود الاحتفاظ بالبيانات، وإجراءات التصحيح، والتزامات الدعم. يجب أن يختبر تخطيط الاستمرارية ما يحدث عندما يكون المورد متاحًا لكن يجب التعامل مع أدلته بحذر إضافي.

بالنسبة للموردين الذين يخدمون المؤسسات الصغيرة والمتوسطة، تشمل مسؤولية مجلس الإدارة عدم تناسق العملاء. يمكن للعملاء الكبار طلب عمليات التدقيق والتفاوض على شروط الإخطار؛ غالبًا ما يقبل العملاء الصغار شروطًا قياسية وتأكيدات عامة. لا ينبغي لمورد يمتلك بيانات عالية القيمة أن يجعل الأمان يعتمد على قدرة كل عميل صغير على فحصه. تقوم التقييمات المستقلة، والضوابط الأساسية القابلة للتنفيذ، والإشعارات الواضحة بالحوادث، وقنوات المعالجة المتاحة بتصحيح هذا الاختلال جزئيًا.

مسؤولية الإدارة: كانت ملكية السياسة منفصلة عن التنفيذ

كان الاستنتاج الإداري المركزي لتقرير مجلس النواب هو فجوة المسؤولية بين سياسة الأمان وعمليات تكنولوجيا المعلومات. قبل الخرق، كان مسؤول الأمان يتبع المدير القانوني بدلاً من مدير تكنولوجيا المعلومات أو الرئيس التنفيذي مباشرة. تختلف هياكل التبعية بشكل مشروع، ولا يضمن أي مخطط تنظيمي واحد الأمان. في هذه الحالة، وصفت الشهادات التي جمعتها اللجنة الأمان وتكنولوجيا المعلومات بأنهما منعزلان، مع اتصال غير متسق، وقوائم جرد غير كاملة يتم الاحتفاظ بها بشكل منفصل، وإحباط من وتيرة عمل الأمان.

يشير التقرير إلى أن كبار مسؤولي تكنولوجيا المعلومات والأمان كانوا يعقدون اجتماعات تنسيق شهرية بدءًا من عام 2016 ويتابعون مبادرات تشمل إدارة التصحيح ونشر الشهادات الرقمية. هذا الدليل مهم لأنه يظهر أن المشاكل لم تكن غير مرئية تمامًا. كان للمؤسسة منابر ومبادرات. كان الفشل هو تحويل الانتباه إلى تنفيذ كامل ومختبر.

تدقيق 2015 يعزز هذا الاستنتاج. كانت التصحيحات التفاعلية، والجرد غير الكامل، والتحقق الضعيف، وخطر الأنظمة الموروثة مسجلة بالفعل. نظام مسؤولية ناضج سينسب كل نتيجة إلى مالك تنفيذي، ويحدد معايير إغلاق قابلة للقياس، ويطلب تحققًا مستقلاً، ويصعد التواريخ غير الملتزم بها إلى لجنة مخاطر. إغلاق مشكلة تدقيق يجب أن يعني أن الضابط يعمل عبر البيئة ذات الصلة بأكملها، وليس أن مشروعًا بدأ أو تم تسجيل تاريخ مستهدف.

الإجراءات اللاحقة للخرق لـ Equifax فيما يتعلق بالموظفين كانت كبيرة. غادر مدير نظم المعلومات ومسؤول الأمان في سبتمبر 2017. تقاعد الرئيس التنفيذي والرئيس ريتشارد سميث في وقت لاحق من ذلك الشهر. تم فصل مسؤول كبير مسؤول عن الأنظمة بما في ذلك ACIS في أكتوبر. عينت الشركة بعد ذلك مسؤول أمان أنظمة المعلومات تابعًا مباشرة للرئيس التنفيذي ومديرًا تكنولوجيًا كند. غيرت هذه الإجراءات القيادة والهيكل. لا تثبت بذاتها المسؤولية القانونية لكل شخص عن كل فشل رقابي.

ينطبق نفس التحفظ على التداول من الداخل. فحصت لجنة خاصة من مجلس الإدارة أربعة كبار مسؤولين تداولوا بين اكتشاف نشاط مشبوه والإفصاح العام وأفادت أنهم لم يكونوا على علم بالحادثة وقت معاملاتهم. تم إيداع تقرير اللجنة لدى SEC كملحق. بشكل منفصل، رفعت SEC دعوى ضد مدير نظم المعلومات السابق لوحدة الأعمال جون ينغ؛ يشير بيان دعوى SEC لعام 2019 إلى أن حكمًا نهائيًا بالتراضي حل مطالباته بالتداول من الداخل ويذكر إقرارًا بالذنب في القضية الجنائية الموازية. هؤلاء أشخاص وملفات واقعية مختلفة. دمجهم يشوه أدلة المسؤولية عن الإفصاح.

مسؤولية مجلس الإدارة: قبل الحادثة، أثناء التصعيد، وبعد التسوية

يجب تقسيم مسؤولية مجلس الإدارة إلى ثلاث فترات. قبل الخرق، السؤال هو ماذا كان يعلم مجلس الإدارة أو كان يجب أن يطلبه بخصوص المخاطر السيبرانية الحرجة ونتائج الرقابة غير المحلولة. أثناء التصعيد، السؤال هو ما إذا كانت الحقائق الجوهرية وصلت إلى المسؤولين بسرعة كافية وبشكل يدعم القرارات. بعد الخرق، السؤال هو ما إذا كانت تغييرات الحوكمة قد خلقت أدلة دائمة بدلاً من اهتمام مؤقت.

يوفر الملف العام تفاصيل أكثر عن الفترة الثالثة مقارنة بالأولى. ينتقد تقرير مجلس النواب هيكل الإدارة ويذكر أن الرئيس التنفيذي لم يعط الأولوية للأمن السيبراني، بناءً جزئيًا على وتيرة الاجتماعات ومن كان يقدم معلومات الأمان. لا يبت في مطالبة بالواجب الائتماني ضد المسؤولين. المصادر التي تم فحصها هنا لا تثبت أن أحد المسؤولين قبل بمعرفة تكوين ACIS الضعيف. لا ينبغي للتحليل المتحفظ أن يملأ هذه الفجوة بالاستدلالات.

يصف بيان التوكيل لـ Equifax لعام 2018 استجابة مجلس الإدارة. شكل المجلس لجنة خاصة، وفصل أدوار الرئيس والمدير التنفيذي، وأضف مسؤولين ذوي خبرة في التكنولوجيا والخدمات المالية، ووسع مسؤولية اللجنة التكنولوجية للأمن السيبراني، وطلب تقارير منتظمة من مسؤول أمان أنظمة المعلومات، ومدير التكنولوجيا، والتدقيق الداخلي، ونص على جلسات مغلقة دون حضور الإدارة. كما يشير إلى أن المجلس ولجانه اجتمعوا أكثر من 75 مرة بعد الإبلاغ عن الحادثة.

كشف التوكيل أيضًا عن إجراءات تعويضية. ألغى المجلس المكافآت التحفيزية السنوية لعام 2017 لفريق الإدارة العليا، حوالي 2.8 مليون دولار، وعزز سياسة الاسترداد لتشمل الضرر المالي والسمعي في قدرة إشرافية، وأضاف الأمن السيبراني كمقياس لأداء المسؤولين. تظهر هذه الإجراءات جهدًا لربط النتائج السيبرانية بمساءلة المسؤولين. فعاليتها تعتمد على جودة المقاييس. مقياس يعتمد على حجم التصحيحات أو إكمال التدريب يمكن تحقيقه بينما تبقى مخاطر متبقية حرجة. المقاييس الموجهة نحو النتائج يجب أن تختبر التغطية، والعمر، والتحقق المستقل، والنتائج المتكررة، والتعرض للاستثناءات.

عدد اجتماعات مجلس الإدارة بعد الحادثة هو دليل على الاهتمام، وليس دليلاً على الفعالية. قد تكون خمسة وسبعون اجتماعًا ضرورية أثناء الاستجابة للأزمة. أقوى تغييرات الحوكمة كانت هيكلية: الوصول المباشر لمسؤول أمان أنظمة المعلومات، ونطاق اللجنة، والخبرة المستقلة، والتنسيق مع التدقيق، والتصعيد المحدد. حتى هذه تتطلب نموذج معلومات موثوقًا. لا يمكن لمجلس الإدارة الإشراف على تطبيق غائب عن الجرد أو الطعن في فحص تخفى حدود تغطيته.

نقل أمر الموافقة متعدد الولايات في يونيو 2018 عدة توقعات من الحوكمة الطوعية إلى الالتزام القابل للتنفيذ. وافقت Equifax دون الاعتراف أو نفي اتهامات ممارسات أمان المعلومات الخطيرة أو غير الصحية. طلب الأمر مراجعة وموافقة مجلس الإدارة على تقييم مكتوب للمخاطر، وقائمة وترتيب أولويات مشاريع معالجة الخرق، وتدقيق معزز، وجرد محسن لأصول تكنولوجيا المعلومات، وتحديد وإدارة رسمية للتصحيحات، وخطط للأنظمة الموروثة، والاهتمام بالتعافي من الكوارث واستمرارية الأعمال. الأهمية ليست أن الجهات التنظيمية وصفات ماسحًا معينًا. بل إنها طلبت إشرافًا قابلاً للتتبع لمجلس الإدارة في نظام الرقابة.

التسويات والنتائج التنظيمية: ما تم تحديده وما لم يتم

في يوليو 2019، أعلنت FTC وCFPB والمدعون العامون للولايات وEquifax عن تسوية منسقة. وصف إعلان FTC ما لا يقل عن 575 مليون دولار ويحتمل أن يصل إلى 700 مليون: 300 مليون أوليًا لصندوق المستهلكين، وما يصل إلى 125 مليونًا إضافيًا إذا لزم الأمر، و175 مليونًا لكيانات الولايات والأقاليم، وغرامة مدنية قدرها 100 مليون لـ CFPB. يصف الإعلان متعدد الولايات للمدعي العام لنيويورك العنصر الولائي والتزامات الأمان. استخدم إعلان التسوية الخاص بـ Equifax رقم تسوية قدره 671 مليون دولار، مما يعكس عرضًا من الشركة للاتفاقيات والمدفوعات المتوقعة.

لا ينبغي التعامل مع هذه الإجماليات على أنها قابلة للتبديل. بعضها يتضمن إضافات مشروطة؛ بعضها يجمع العقوبات التنظيمية مع الدعاوى الجماعية؛ صندوق الدعوى الجماعية له محاسبته الخاصة؛ وقيمة خدمات المراقبة تعتمد على معدل الاشتراك. الممارسة الصحيحة هي ذكر النطاق المرتبط بكل رقم بدلاً من البحث عن إجمالي تسوية عالمي.

ادعت دعوى FTC أن فشل Equifax في استخدام أمان معقول يشكل ممارسة غير عادلة، وأن التصريحات حول الضمانات كانت مضللة، وأن الشركة انتهكت قاعدة الحفظ لقانون Gramm-Leach-Bliley. ادعت إجراءات تصحيح معيبة، وجرد غير كامل، وفحص تم تكوينه بشكل خاطئ، وتجزئة غير كافية وكشف تسلل، وبيانات اعتماد وبيانات بنص واضح، وضوابط وصول ضعيفة. هذه مزاعم، حتى لو كانت تتماشى إلى حد كبير مع نتائج الكونغرس والمعالجة التي أبلغت عنها Equifax.

الأمر المتفق عليه الذي وقعته FTC والأمر المتفق عليه المودع من قبل CFPB أكثر أهمية للمسؤولية المستقبلية. طلبا برنامج أمان معلومات مكتوب، وتقييمات سنوية للمخاطر، وضمانات، واختبارات، وضوابط لمقدمي الخدمات، واختبارات ثغرات، واختبارات اختراق، وتقييمات مستقلة. يتطلب أمر FTC تقديم برنامج الأمان والتحديثات الجوهرية إلى مجلس الإدارة أو اللجنة المختصة مرة واحدة على الأقل سنويًا. كما يتطلب شهادة سنوية من مجلس الإدارة أو اللجنة لمدة 20 عامًا بخصوص الامتثال وعدم الامتثال الجوهري غير المفصح عنه.

تعدل هذه الشهادة عبء الإثبات على مجلس الإدارة. لا يمكن للمسؤولين التصديق بشكل مسؤول بناءً على تأكيد الإدارة فقط. يتطلب الأمر تقييمات مستقلة، ويحدد أن المقيّمين يحددون الأدلة التي تدعم الاستنتاجات، ويذكر أن النتائج لا يمكن أن تعتمد فقط على شهادات إدارة Equifax. كما يطلب من Equifax تزويد المقيّم بمعلومات عن جميع الشبكات والأصول التكنولوجية حتى يتمكن المقيّم من تحديد النطاق. تعالج هذه الأحكام مباشرة النمط المكشوف في 2017: أصول غير معروفة، وإنجاز مُبلغ عنه ذاتيًا، وفحص سلبي دون تغطية موثوقة.

أنتج تقاضي المستهلكين طبقة أخرى. أنشأ اتفاق التسوية المودع لدى SEC التزامات في ممارسات العمل وعلاجات للمستهلكين. في عام 2021، أكدت محكمة الاستئناف الأمريكية للدائرة الحادية عشرة إلى حد كبير الموافقة على التسوية مع إلغاء مخصصات الرسوم لممثلي الفصل وفقًا لسابقة الدائرة. يسجل الرأي صندوق فئة أولي قدره 380.5 مليون دولار، ومبالغ إضافية محتملة، ومزايا مراقبة الائتمان واستعادة الهوية، وحد أدنى 1 مليار دولار من الإنفاق على أمن البيانات على مدى خمس سنوات، وتقييم مستقل، وتنفيذ من محكمة المقاطعة.

لم ينتج تسوية الفصل حكم محاكمة على كل ادعاء. يذكر موقع التسوية الرسمي صراحة أن Equifax أنكرت أي مخالفة وأنه لم يتم إصدار أي حكم أو نتيجة مخالفة في هذه التسوية. هذا لا يمحو الأوامر، والمدفوعات، وإفصاحات الشركة، ونتائج الكونغرس، أو الالتزامات المودعة لدى SEC. يحدد وضعها القانوني. المسؤولية المسواة لا تزال مسؤولية، لكنها ليست نفس المسؤولية المقضي بها بعد المحاكمة.

ما يجب أن يطلبه مجلس الإدارة من نافذة تصحيح حرجة

يدعم ملف Equifax مجموعة أدلة ملموسة لمجالس الإدارة المستقبلية. يجب أن تبدأ عندما يصل إشعار حرج وتبقى مفتوحة حتى يتم إما تصحيح التعرض أو قبوله رسميًا في ظروف مقيدة.

أولاً، يجب على الإدارة تحديد المقام. يجب أن يحدد التقرير الخدمات المكشوفة على الإنترنت، ومكونات البرامج والإصدارات المتأثرة، والأصحاب، وتصنيفات البيانات، ومسارات الشبكة، والثقة في تغطية الجرد. يجب الإبلاغ عن المناطق غير المعروفة كغير معروفة، وليس حسابها كنظيفة.

ثانيًا، يجب أن تكون الملكية إيجابية. يجب أن يقبل أصحاب تقنيون وتجاريون معينون المهمة. قائمة بريدية هي آلية إخطار، وليست مسؤولية. إذا كان المالك غائبًا، أو غير دوره، أو لا يتعرف على التوجيه، يجب أن يحدث تصعيد قبل انتهاء مهلة التصحيح.

ثالثًا، يجب أن يكون التحقق مستقلاً عن التغيير. يمكن للفريق الذي يقوم بتثبيت تصحيح تقديم أدلة على النشر، لكن ضابطًا آخر يجب أن يتحقق من غياب الثغرة. للأطر المدمجة، قد يتطلب هذا فحصًا مصادقًا، أو أدلة تكوين البرامج، أو قوائم البناء، أو فحصًا مباشرًا. يجب أن يظهر أي قيد للماسح بجانب النتيجة.

رابعًا، يجب أن تغير الاستثناءات الهندسة المعمارية. إذا كان لا يمكن تصحيح نظام حرج في المهلة المطلوبة، يجب أن يحدد الاستثناء لماذا، ومن قبل المخاطرة، ومتى تنتهي، وما هي الضوابط التعويضية التي تقلل التعرض. إزالة الوصول إلى الإنترنت، تعطيل الوظيفة الضعيفة، تقييد الطلبات، عزل الخدمة، تشديد المخارج، أو تقييد نطاق قاعدة البيانات يمكن أن يقلل المخاطرة أثناء استمرار الاختبارات. استثناء بدون تغيير تعويضي هو قرار مؤجل.

خامسًا، يجب أن يرى مجالس الإدارة نصف قطر الانفجار. لكل تطبيق حرج قابل للوصول خارجيًا، يجب على الإدارة إظهار قواعد البيانات، ومشاركات الملفات، وبيانات الاعتماد، والوظائف الإدارية التي يمكن الوصول إليها بعد الاختراق. يجب اختبار أقل امتياز والتجزئة من هوية التطبيق، وليس افتراضهما من مخطط شبكة.

سادسًا، تحتاج ضوابط الكشف إلى أدلة على الصحة. يجب مراقبة صلاحية الشهادات، وتغطية أجهزة الاستشعار، وتدفق السجلات، وقدرة فك التشفير، وزمن استجابة التنبيهات، والاحتفاظ كضوابط في حد ذاتها. جهاز أمان لا يمكنه فحص حركة المرور يجب أن يشير إلى فشل مرئي ويخلق تصعيدًا، وليس البقاء صامتًا ممثلًا كغطاء.

سابعًا، يجب ربط نتائج التدقيق القديمة بالحوادث الحالية. عندما تكشف ثغرة حرجة عن نفس الحالة المحددة في تدقيق سابق، يجب على مجلس الإدارة رؤية هذه العلاقة فورًا. النتائج المتكررة ليست متراكمة روتينية؛ إنها دليل على أن المعالجة السابقة لم تغير البيئة التشغيلية.

ثامنًا، يجب أن يتضمن تخطيط الاستمرارية فشل الثقة. يجب أن تغطي الخطة إجراءات العملاء والحكومة إذا تم كشف البيانات، أو إذا لم تعد طريقة الهوية ذات مصداقية، أو إذا كانت الخدمة بحاجة إلى العزل بينما تبقى المنصة المركزية عبر الإنترنت. يجب اختبار الإخطار على نطاق المستهلكين، ومجالات الاستجابة المصادق عليها، وسعة المكالمات، والإشعارات التعاقدية، ودعم العملاء الصغار قبل الخرق.

هذه المتطلبات ليست حجة للمسؤولين لإدارة التصحيحات. إنها حجة للمسؤولين لحوكمة النظام الذي يدعي أن التصحيحات تحت السيطرة. دور مجلس الإدارة هو تحديد تحمل المخاطر، وطلب تقارير موثوقة، والطعن في النقاط العمياء المشتركة، وتخصيص المسؤولية التنفيذية، وضمان أن استثناءً حاسمًا لا يمكن أن يختفي داخل التعقيد التشغيلي.

اختبار المسؤولية المستدام

غالبًا ما يُذكر خرق Equifax كتصحيح كان متاحًا لكن لم يتم تطبيقه. الدرس الأكثر استدامة هو أن كل ضمان ظاهري يعتمد على أدلة لم تكن الشركة تمتلكها بشكل موثوق. وصل الإشعار إلى المؤسسة لكن ليس إلى فريق التطبيق المسؤول. كانت قاعدة الـ 48 ساعة موجودة لكنها تفتقر إلى الإقرار والإغلاق. تم تنفيذ الفحص لكنه لم يغط المكون. كانت تكنولوجيا المراقبة موجودة لكنها لم تستطع فحص حركة المرور. كانت للبوابة وظيفة محددة لكنها استطاعت الوصول إلى بيانات أكثر بكثير مما تتطلبه تلك الوظيفة. كانت نتائج التدقيق موجودة لكن لم يتم إثبات حلها بشكل مستقل.

نقل الملف بعد الخرق المسؤولية إلى أعلى. تغيرت أدوار الإدارة. توسعت مسؤوليات لجان مجلس الإدارة. أدرجت قرارات الحوافز العواقب السيبرانية. طلبت الجهات التنظيمية للولايات عمل مخاطر ومعالجة معتمد من مجلس الإدارة. طلبت الأوامر الفيدرالية برامج أمان طويلة الأجل، وتقييمات مستقلة، وشهادة سنوية. وضعت تسوية المستهلكين نفقات كبيرة والتزامات قابلة للتنفيذ قضائيًا حول المعالجة.

لا يثبت أي من هذا أن الخروقات الكبيرة يمكن القضاء عليها بإضافة اجتماعات مجلس الإدارة أو الشهادات. يظهر ما يجب أن تجعله الحوكمة قابلاً للملاحظة. يجب أن يكون مجلس الإدارة قادرًا على تتبع إشعار حرج إلى كل أصل متأثر، وكل مالك مسؤول، وكل تغيير تم تنفيذه، وكل تحقق مستقل، وكل استثناء مؤقت، وكل مسار متبقي للبيانات الحساسة. عندما تكون هذه السلسلة غير مكتملة، الحالة الصحيحة ليست خضراء. إنها مخاطرة غير محلولة.

بالنسبة للوكالات العامة والمؤسسات الصغيرة والمتوسطة، توسع القضية أيضًا الاستمرارية إلى ما وراء التوفر. يمكن لوسيط البيانات البقاء عبر الإنترنت بينما يفقد العملاء الثقة في أدلة الهوية، ويعلقون العقود، ويضيفون ضوابط الاحتيال، ويعيدون توجيه الموظفين إلى المعالجة. المؤسسات الصغيرة في مجرى النهري والمستهلكون الفرديون غالبًا ما تكون لديهم أقل قدرة على استيعاب هذا العمل. اعتمادهم جزء من بصمة مخاطر المورد، حتى عندما لا يكون مرئيًا في مقياس توفر المورد.

لذا يظل خرق Equifax نقطة مرجعية لمسؤولية مجلس الإدارة لأن العيب البادئ كان عاديًا والعواقب كانت استثنائية. الثغرة كانت عامة. التصحيح كان متاحًا. المهلة الداخلية كانت قصيرة. ما فشل هو قدرة المؤسسة على إثبات أن تعليماتها الخاصة قد غيرت الأنظمة التي كانت مهمة.