要約
- Blackbaud の2020年のランサムウェア事件は、クラウドの説明責任テストとなった。公的記録が、簡単な顧客通知から SEC、FTC、州司法長官、顧客、および公的報告の証拠へと移行し、コピーされたファイル、機密フィールド、通知のタイミング、保存期間が明らかになったからである。
- テナントデータの管理、流出証拠、身代金支払いの連絡、顧客通知のタイミング、規制当局との協力、非営利の構成員がクラウド集中の見えないコストにならなかったという証明について、実際に実効的な支配権を持っていたのは誰か?
- 説明責任の問題は、攻撃者がデータをコピーしたことだけではない。使命主導の機関が、寄付者、卒業生、学生、患者、支援者に通知する前に、ベンダーの調査、データ目録、削除の主張、開示管理に依存しなければならなかったことである。
- 確認された事実には、Blackbaud の後の Form 8-K 開示(https://investor.blackbaud.com/static-files/58a4ae64-afc5-45f7-81df-69dfc93888fc)、SEC 命令(https://www.sec.gov/files/litigation/admin/2023/33-11165.pdf)、SEC プレスリリース(https://www.sec.gov/intelligence team/press-releases/2023-48)、FTC リリース(https://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-require-blackbaud-delete-unnecessary-data-boost-safeguards-settle-charges-its-lax)、および Blackbaud の多州和解発表(https://www.blackbaud.com/intelligence team/article/blackbaud-resolves-multi-state-attorneys-general-investigation-of-2020-security-incident)が含まれる。
- 支持される推論は範囲を限定しなければならない。非営利顧客は Blackbaud の証拠なしに流出したファイル内容、攻撃者による削除、機密フィールドの範囲を独自に検証できなかったが、公的記録はすべてのフォレンジックアーティファクト、顧客固有のデータセット、または改善策を明らかにしているわけではない。
この事例がリスクと説明責任ファイルに属する理由
Blackbaud がリスクと説明責任ファイルに属するのは、見える顧客が最終的に露出した人物であることはまれだったからである。大学、病院財団、食料銀行、児童福祉慈善団体、宗教団体、学校、美術館、研究財団、公共サービス非営利団体が Blackbaud ソフトウェアを購入した可能性がある。それらのシステム内の記録は、寄付者、卒業生、患者、キャンペーンボランティア、学生、イベント参加者、受益者、理事、従業員、支援者に属していた。それらの人々は Blackbaud のログイン画面を見たことがないかもしれない。彼らは消費者アカウントではなく、使命のために信頼する機関によってベンダーに代表されていた。
主要な公開タイムラインは非常に示唆に富んでいる。SEC 命令(https://www.sec.gov/files/litigation/admin/2023/33-11165.pdf)によると、Blackbaud は2020年5月14日に不正アクセスを検出し、調査によりアクセスは2020年2月に始まった可能性があるとしている。命令は、13,000以上の顧客に関する100万以上のファイルへの不正アクセスと流出が発生したと述べている。Blackbaud は2020年7月16日に事件を発表し、影響を受けた顧客に通知した。SEC 命令は、従業員が数日以内に、寄付者の銀行口座情報や社会保障番号に関する初期の声明が一部の顧客にとって誤りであることを知ったが、会社の2020年8月4日の Form 10-Q はその広範な範囲を開示せず、リスクを仮定的なものとして特徴付けたと述べている。
Blackbaud の後の Form 8-K(https://investor.blackbaud.com/static-files/58a4ae64-afc5-45f7-81df-69dfc93888fc)は、公的リスクの状況を変えた。さらなるフォレンジック調査により、通知を受けた一部の顧客について、攻撃者が銀行口座情報、社会保障番号、ユーザー名、パスワードを目的とした暗号化されていないフィールドにアクセスした可能性があることが判明したと述べている。これはすべての顧客がそれらのフィールドを露出したわけではないことを意味する。しかし、当初の通知構造が完全な不確実性を伝えきれず、一部の顧客に追加のサポートが必要であったことを意味した。
したがって、説明責任の問題は実践的である。テナントデータの管理、流出証拠、身代金支払いの連絡、顧客通知のタイミング、規制当局との協力、非営利の構成員がクラウド集中の見えないコストにならなかったという証明について、実際に実効的な支配権を持っていたのは誰か?答えは Blackbaud から始まる。Blackbaud がホスト環境、調査、最初の顧客通知、データ保存体制、サービス固有のファイル、および下流の機関がコミュニティに通知するために必要な証拠の流れを管理していたからである。
それは顧客の責任を消すものではない。顧客はどのデータを収集するか、どのフィールドを使用するか、どの添付ファイルをアップロードするか、古い記録をどのくらい保持するか、構成員とどのように連絡するかを決定する。しかし、顧客の責任はベンダーの証拠の門の背後にある。非営利団体がどの Blackbaud ファイルがコピーされたかを確認できず、フィールドが暗号化されているかどうかを検証できず、攻撃者との通信を調査できず、データ削除を独立して確認できない場合、ベンダーの証拠規律が他のすべての人の説明責任の制御条件となる。
タイムラインは侵入事件だけでなく、開示管理の事例である
タイムラインが重要なのは、攻撃者が追放されたときに説明責任が終わらなかったことを示しているからである。それは開示管理に移行した。SEC のプレスリリース(https://www.sec.gov/intelligence team/press-releases/2023-48)によると、Blackbaud は誤解を招く開示の件で、SEC の調査結果を認めも否定もせずに300万米ドルの民事罰金を支払うことに同意した。このファイルにとって重要なのは金額ではない。SEC が説明した管理の失敗である。技術担当者とカスタマーリレーション担当者は、2020年8月の提出前に上級管理職に届かなかった機密データに関する情報を入手した。
それはファイアウォールの隙間やエンドポイントの侵害とは異なる障害モードである。それは証拠の経路の欠陥である。クラウドインシデントでは、事実はエンドポイント調査員から製品チーム、カスタマーサポートスクリプト、弁護士、経営幹部、規制当局、投資家、顧客へと移動する。それらの事実が十分な速さや精度で移動しない場合、公的記録は、会社が最初の通知が不完全であったことを知った後でも、影響を受ける人々に誤った情報を伝える可能性がある。使命主導の顧客にとって、その遅延は投資家関係の抽象概念ではない。それは、寄付者がいつ銀行口座を凍結できるか、患者がいつ身元詐欺を警戒できるか、大学がいつ卒業生に通知できるか、慈善団体がいつ不安な支援者に回答できるかを決定する。
SEC 命令は特に明確な連続を説明している。Blackbaud の7月16日の通知は、攻撃者が寄付者の銀行口座情報や社会保障番号にアクセスしなかったと述べた。その後、顧客からの質問で、機密データが暗号化されていない添付ファイルやフィールドに保存されていた可能性があるという懸念が浮上した。SEC 命令によると、7月21日までに、担当者は特定の添付ファイルとフィールドが暗号化されていなかったことを認めるカスタマーサービススクリプトを作成していた。7月末までに、担当者は影響を受けた顧客の一部について、暗号化されていない寄付者の銀行口座情報と社会保障番号へのアクセスと流出を確認した。8月4日の Form 10-Q はその重要な修正を含んでいなかった。
FTC は後に同じ出来事を消費者保護とデータ保存の観点から位置付けた。そのリリース(https://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-require-blackbaud-delete-unnecessary-data-boost-safeguards-settle-charges-its-lax)は、Blackbaud が適切な安全策を実施せず、侵害が数ヶ月間検出されず、必要以上にデータを保持し、攻撃者が盗んだデータを公開すると脅した後に24ビットコインを支払い、攻撃者がデータを削除したことを確認しなかったと述べている。これらは FTC の申し立てと命令条件であり、Blackbaud が公開した民間のフォレンジックログではない。それでも重要であるのは、公的な説明責任基準を特定しているからである。セキュリティ、保存、検出、通知、削除の証明は一つの連鎖である。
その連鎖が、これがクラウドサービス依存の事例である理由である。顧客は独自のインシデント対応を必要としていただけではない。彼らは、合法的で正確な顧客固有の通知に変換できるベンダーの証拠を必要としていた。慈善団体は、ベンダー自身のレビューがその声明を支持するのに十分でない場合、「措置は不要です」と支援者に責任を持って伝えることはできない。大学は、ベンダーがファイル名のみを分析し、関連する内容を分析していない場合、銀行フィールドや身分番号が関与したかどうかを卒業生に伝えることはできない。通知のタイミングが管理面となる。
慈善団体データは、機関が benevolent であるためリスクが低いわけではない
「慈善団体データ」という言葉は柔らかく聞こえるかもしれない。しかし、そうではない。寄付者データベースには、氏名、住所、メールアドレス、電話番号、生年月日、家族関係、雇用者情報、資産指標、遺贈関心、定期寄付履歴、銀行詳細、イベント参加、ボランティアの好み、理事会所属、キャンペーンノート、宗教的または政治的関連、健康財団との関係、および私的な絆を明らかにする連絡履歴が含まれる可能性がある。大学の文脈では、卒業生記録には学位、年次、学生識別子、関与パターン、キャリア詳細、慈善能力が含まれる可能性がある。医療財団の文脈では、機関との関係は、臨床記録が侵害されたシステムにない場合でも、敏感な健康への近接性を示唆する可能性がある。
Blackbaud の2023年 Form 10-K(https://www.sec.gov/Archives/edgar/data/1280058/000128005824000013/blkb-20231231.htm)は、Raiser's Edge NXT、Blackbaud CRM、eTapestry、Luminate Online、TeamRaiser、JustGiving、Fundraiser Performance Management、Altru などの資金調達および関係管理製品を説明している。製品の説明が重要なのは、依存の表面を示しているからである。資金調達、寄付フォーム、キャンペーン管理、デジタルギフト、イベント資金調達、分析、エンゲージメント、会員、構成員記録。これらは孤立した顧客ファイルではない。それらは、人々との長い関係を持つ機関の運用記憶である。
顧客通知は人間の層を可視化する。アラバマ大学の通知(https://giving.ua.edu/data/)は、Blackbaud が2020年7月16日に大学に、5月にランサムウェア攻撃が発生し、複数のクライアントのデータの一部がコピーされたと通知したと述べている。UNC システムの通知(https://www.northcarolina.edu/blackbaud-information-security-incident/)は、Blackbaud を高等教育向けの世界最大の構成員関係管理プロバイダーの一つと説明し、自己ホスト型データ環境が影響を受けたと述べている。エジンバラ・ネイピア大学の通知(https://www.napier.ac.uk/alumni/alumni-news/latest-news/blackbaud-data-security-incident)は、連絡先詳細、コースおよび教育詳細、卒業生および資金調達活動との関与、専門的詳細、調査を通じて提供された関心などのカテゴリをリストしている。
慈善団体の通知は同一ではなかった。顧客データが同一ではなかったからである。Child & Family Service の通知(https://childandfamilyservice.org/securityincident/)は、経歴、連絡先、寄付履歴、関係情報に言及した。Task Force for Global Health の通知(https://www.taskforce.org/blackbaud-data-security-incident/)は、第三者ベンダーのインシデントと寄付者データへの影響の調査を説明した。Ridgewater College の通知(https://ridgewater.edu/alumni-friends/ridgewater-college-foundation/blackbaud-data-security-incident/)は、Blackbaud が2020年2月7日から5月20日まで断続的に標的にされ、7月16日に大学に通知したと述べている。これらの通知は、下流の機関が一つのベンダーイベントを多数の地域の信頼関係に変換していることを示す点で貴重である。
説明責任の問題は、それらの下流の機関が被害者であり伝達者でもあったことである。彼らは Blackbaud の調査に依存しながら、寄付者、卒業生、支援者からの質問に答えなければならなかった。また、自身のデータ慣行が影響を悪化させたかどうかを評価しなければならなかった。機密データを自由テキストフィールドに保存していなかったか?暗号化されていない添付ファイルをアップロードしていなかったか?現在の目的なしに古い記録を保持していなかったか?Blackbaud が以前の顧客データをどのように保持しているかを理解していたか?ベンダーはプラットフォームを管理していたが、顧客はその内部のデータ選択の一部を管理していた。説明責任は両方の層を順に追う。
確認された事実、支持される推論、未知のものは分離しなければならない
確認された公的事実は、この事例を深刻にするのに十分である。SEC 命令は、13,000以上の顧客に関する100万以上のファイルがアクセスされ、流出したと述べている。会社は2020年5月14日に攻撃を検出し、7月16日に事件を発表して影響を受けた顧客に通知し、8月4日に Form 10-Q を提出し、9月29日の Form 8-K で、銀行口座情報、社会保障番号、ユーザー名、パスワードを目的とした暗号化されていないフィールドが一部の顧客についてアクセスされた可能性があると開示した。FTC リリースは、侵害が3ヶ月間検出されず、何百万もの消費者の個人データが関与し、不必要なデータ保存が問題の一部であり、命令が不要になったデータの削除と包括的な情報セキュリティプログラムを要求したと述べている。
確認された執行結果も明らかである。Blackbaud の2023年10月の発表(https://www.blackbaud.com/intelligence team/article/blackbaud-resolves-multi-state-attorneys-general-investigation-of-2020-security-incident)は、49州とコロンビア特別区に49.5百万米ドルを支払い、サイバーセキュリティプログラムとツールを実施または改善することに同意し、データ保護、プライバシー、セキュリティ、機密性、完全性、侵害通知事項に関する誤解を招く声明を行わないと述べている。ニューヨーク州司法長官のリリース(https://ag.ny.gov/press-release/2023/attorney-general-james-and-multistate-coalition-secure-495-million-cloud-company)は、和解が寄付者情報の露出に関する多州調査を解決したと説明している。カリフォルニア州司法長官のリリース(https://oag.ca.gov/news/press-releases/attorney-general-bonta-secures-675-million-settlement-against-blackbaud-over)は、2024年に別途6.75百万米ドルの和解を発表した。これらは民事解決記録であり、刑事判決ではない。
支持される推論はより狭い。多くの顧客が自身のシステムからファイル内容の範囲を独自に判断できなかったと推論するのは合理的である。インシデントが Blackbaud の環境内で発生し、SEC 命令が Blackbaud のファイル名レビューとその後の暗号化されていないフィールドに関する顧客の懸念を説明しているからである。通知の質が不均一であったと推論するのは合理的である。下流の通知が進化するベンダー情報に依存していたからである。不必要な保存が露出した人々の人口を増加させたと推論するのは合理的である。FTC が Blackbaud は必要以上にデータを保持し、以前の顧客に属する情報を含んでいたと主張したからである。
未知のものは未知のままでなければならない。公的記録は、影響を受けたすべての顧客、影響を受けたすべての人、すべてのファイル名、すべてのコピーされたフィールド、すべての暗号化されたフィールド、すべての顧客固有の製品インスタンス、すべての私的通知、すべての法執行機関との通信、すべての攻撃者との通信、すべてのフォレンジック結論、またはすべてのセキュリティ改善の完全なリストを提供していない。コピーされたすべての記録が悪用されたことを証明していない。攻撃者による削除が行われたことを証明していない。すべての顧客が責任を持ってデータを保存したことを証明していない。また、後のすべての改善が効果的でなかったことを証明していない。責任ある説明責任ファイルは、それらのギャップを裏付けのない告発で埋めるべきではない。
その分離は法的な巧妙さではない。それはインシデント対応自体が使用すべき規律である。確認された事実は人々に取るべき行動を伝える。支持される推論は顧客に尋ねるべき質問を伝える。未知のものは規制当局に証拠を要求する場所を伝える。三つのカテゴリが混ざると、侵害コミュニケーションは誤った安心かパニックのいずれかになる。Blackbaud の事例は、なぜカテゴリが最初の通知から明確でなければならないかを示している。
身代金支払いは削除の証明ではない
身代金支払いの記録が中心的なのは、多くの下流の通知が、Blackbaud が支払い、コピーされたデータが破棄されたという保証を受けたという考えを繰り返したからである。FTC リリース(https://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-require-blackbaud-delete-unnecessary-data-boost-safeguards-settle-charges-its-lax)は、Blackbaud が攻撃者がデータを公開すると脅した後に24ビットコインを支払い、FTC によると、攻撃者が盗んだデータを実際に削除したことを確認しなかったと述べている。エジンバラ・ネイピア大学、Child & Family Service、アラバマ大学などの顧客通知は、削除に関する保証または確認を説明している。それらの通知は、ベンダーの言葉への下流の依存を示している。
説明責任の問題は、身代金支払いは危機的な決定であり得るが、セキュリティ管理ではないことである。それは削除を証明しない。コピーが作成されなかったことを証明しない。データが見られなかったことを証明しない。保存の問題を解決しない。影響を受ける人々に通知しない。アクセス経路を修復しない。暗号化、セグメンテーション、多要素認証、脆弱性管理、監視、最小権限、バックアップ検証、データ最小化、開示管理を代替しない。
CISA の StopRansomware ガイド(https://www.cisa.gov/stopransomware/ransomware-guide)と NIST のインシデント処理ガイド(https://csrc.nist.gov/pubs/sp/800/61/r2/final)は、ここで有用な公的語彙を提供している。それらは Blackbaud に関する調査結果を出していない。それらは、ランサムウェアイベントが準備、検出、封じ込め、根絶、復旧、コミュニケーション、教訓を通じて処理されなければならない理由を定義している。プロバイダーが身代金を支払った場合、その決定は対応記録の中に位置する。それが消費者が安全であるという証明になるべきではない。
使命主導の顧客にとって、削除の問題は特に困難である。慈善団体はベンダーの削除主張に疑問を呈する技術的能力を持たないかもしれない。大学は法的顧問を持つかもしれないが、ベンダーの攻撃者との通信にアクセスできないかもしれない。小さな財団は他にほとんどないため、ベンダーの言葉を使って通知を発行するかもしれない。だから規制当局が重要である。FTC の命令がデータ削除と保存スケジュールを要求したことは、削除主張を運用上の義務に変えた。会社はもはや必要のないデータを削除し、保持されたデータがなぜ必要なのかを文書化しなければならない。
耐久性のある教訓は、データ削除はインシデントの前に管理可能でなければならないということである。会社が古い顧客データを、ストレージが安く、クリーンアップが複雑であるために保持する場合、より大きな侵害人口を生み出す。コピーされたファイルに何があったかを証明できない場合、正確な通知を発行できない。攻撃者の約束に依存する場合、安全性の証明をチェーン内の最も信頼できない当事者に移している。説明責任には、プロバイダーに属する削除証拠が必要であり、攻撃者に属するものではない。
顧客通知は圧力下での委任された説明責任を示す
下流の通知は、インシデントがどのようにコミュニティに到達したかの最良の公的証拠である。大学、慈善団体、財団の通知は、Blackbaud のイベントの説明を繰り返し、データのローカルカテゴリを説明し、影響を受ける人々に機関が何をしているかを伝えた。その繰り返し自体は欠陥ではない。それは第三者インシデントコミュニケーションの仕組みである。欠陥は、上流の情報源が不完全であったり、過度に確実であったり、更新が遅い場合に現れる。
UNC の通知(https://www.northcarolina.edu/blackbaud-information-security-incident/)は、Blackbaud を主要な高等教育構成員関係管理プロバイダーとして位置付けた。アラバマ大学の通知(https://giving.ua.edu/data/)は、寄付者関連の記録とベンダーの支払いおよび削除の保証を説明した。エジンバラ・ネイピア大学の通知(https://www.napier.ac.uk/alumni/alumni-news/latest-news/blackbaud-data-security-incident)は、卒業生および資金調達の関与フィールドを説明した。Task Force for Global Health の通知(https://www.taskforce.org/blackbaud-data-security-incident/)は、寄付者情報と進行中の機関調査を強調した。各通知は、異なるコミュニティのためにベンダーイベントをローカライズしなければならなかった。
これは委任された説明責任である。ベンダーは証拠を管理する。顧客は構成員との関係を管理する。構成員はリスクを負う。ベンダーの証拠が遅ければ、顧客は回避的に見える。顧客のデータ衛生が悪ければ、ベンダーのインシデントはより広い影響を持つ。構成員が信頼を失えば、慈善団体の使命は、慈善団体が侵害されたインフラを運用していなくても損なわれる可能性がある。ベンダーリスクと使命リスクの境界線は消える。
公共セクターの継続性はこの一部である。多くの非営利団体、大学、健康関連財団は装飾的な機関ではない。それらは教育、医学研究、社会福祉、文化遺産、災害対応、コミュニティサービス、脆弱な人口を支えている。構成員記録の侵害は、資金調達の信頼を低下させ、サポート負担を生み出し、スタッフを気を散らし、人々が関与するのを躊躇させる可能性がある。運用上の害は常にシステム停止とは限らない。時には害は信頼の停止である。電話が鳴り、寄付者が説明を求め、卒業生がデータ慣行に疑問を呈し、スタッフは記録と法的義務を再構築するのに時間を失う。
したがって、ベンダーは委任された説明責任のためにインシデントコミュニケーションを設計すべきである。それは、顧客固有の範囲、明確な不確実性ラベル、行動ガイダンス、追加通知のトリガー、規制当局との調整、証拠保存を意味する。また、ファイル内容と顧客フィールド慣行が既知になる前に断定的な保証を避けることも意味する。Blackbaud の場合、後の SEC および FTC の記録は、なぜ早期の確実性が負債になったかを示している。
執行は通知の質を管理義務に変えた
SEC、FTC、州司法長官、カリフォルニアの記録はそれぞれ異なる部分を強調している。SEC は投資家開示と開示管理に注目した。FTC は消費者保護、データセキュリティ、保存、通知、表明に注目した。州司法長官は管轄を超えたデータセキュリティ、侵害通知、消費者保護義務に注目した。カリフォルニアは別途和解記録を追加した。それらは一緒になって、通知の質をコミュニケーションの好みではなく、管理義務に変えた。
AP の報道(https://apnews.com/article/dba8fac12af30f74691c7af4fec69a14)は、多州和解を説明し、侵害が13,000以上の非営利団体に影響を与え、数百万人の機密情報を露出させたが、Blackbaud は和解で不正を認めなかったと述べている点で、公的ニュースの要約として有用である。ロイターの報道(https://www.reuters.com/legal/software-firm-blackbaud-pay-3-mln-misleading-disclosures-ransomware-attack-sec-2023-03-09/)も同様に SEC 和解を要約している。ニュース報道は命令を代替しないが、執行記録がどのように公的な理解に変換されたかを示している。
通知の質にはいくつかの要素がある。第一に、タイミング:顧客は影響を受ける人々を保護するのに十分な速さで学習したか?第二に、具体性:通知は問題のデータカテゴリを特定したか?第三に、正確性:断定的な主張は証拠によって支持されていたか?第四に、更新義務:新しい事実が現れたときに会社は通知を修正したか?第五に、実行可能性:影響を受ける人々は何をすべきか知っていたか?第六に、説明責任:会社はどの事実が確認され、どの事実が調査中で、どの事実が未知であるかを特定したか?
Blackbaud の公的記録は、それらの要素のいくつかで弱点を示している。SEC 命令は、8月の提出が、暗号化されていない銀行口座と社会保障番号データの一部が流出したという重要な事実を省略したと述べている。担当者がそれを知っていたにもかかわらずである。FTC は、Blackbaud が顧客に通知するまでにほぼ2ヶ月待ち、その後、盗まれたデータの範囲について消費者を誤解させ、顧客は措置を取る必要がないという声明を含んでいたと主張した。州の和解はデータセキュリティと侵害通知慣行の変更を要求した。これは、組織内を証拠がゆっくりと移動する事例である。
他の機関の機密記録を扱う組織は、開示管理をセキュリティアーキテクチャの一部として扱うべきである。フォレンジック調査結果から顧客通知、SEC 提出書類、プライバシー規制当局、コールセンタースクリプト、取締役会の監視、顧客固有の改善への経路が必要である。その経路が非公式であれば、最初の声明が罠になる可能性がある。技術チームはある事実を知り、カスタマーチームは別の事実、法務チームはさらに別の事実、上級リーダーシップはまた別の事実を知るかもしれない。公衆は無知の平均を受け取る。
データ保存は説明責任問題を拡大した
FTC のデータ保存への焦点は、Blackbaud 記録の最も重要な部分の一つである。保存は侵害までしばしば見えない。インシデントの前には、余分な過去データは有用に見えるかもしれない。古い寄付者が戻ってくるかもしれない、古い卒業生が寄付するかもしれない、古いイベント参加者がキャンペーンに参加するかもしれない、古い添付ファイルが関係を再構築するのに役立つかもしれない。インシデントの後、余分なデータは露出の在庫になる。組織がなぜまだ特定のフィールドを保持しているのかを説明できない場合、目的なしにリスクを保存していることになる。
FTC リリースは、Blackbaud が必要以上にデータを保持していたと述べている。以前の顧客に属する情報を含めて。その詳細が重要なのは、リスク配分の公平性を変えるからである。人は寄付をやめたり、卒業したり、プログラムを離れたり、キャンペーンから撤退したりするかもしれない。元の機関はベンダーの使用をやめるかもしれない。データが数年後にホスト環境に残っている場合、露出した人は現在のサービス利益なしにリスクを負い続ける。保存の失敗は、ベンダーの侵害を、削除を要求する実用的な方法を持たない人々への長期的な害に変える可能性がある。
データ主権と地域性もここに入る。Blackbaud は多くの国の顧客をサポートし、2023年 Form 10-K は米国、オーストラリア、カナダ、コスタリカ、英国での事業を説明し、100カ国以上のユーザーがいるとしている。そのグローバルプラットフォームの文脈が重要である。ある管轄区域の顧客は、別の管轄区域の寄付者や卒業生に対して義務を負う可能性がある。英国の大学、カナダの慈善団体、米国の病院財団、オーストラリアの非営利団体は、異なるプライバシー、通知、保存義務に直面する可能性がある。ベンダーのホストアーキテクチャと顧客固有のデータマップは法的インフラになる。
ICO のランサムウェアガイダンス(https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/security/a-guide-to-data-security/ransomware-and-data-protection-compliance/)は、ランサムウェアをマルウェアインシデントだけでなく、データ保護問題として扱うため、有用な文脈である。この記事で Blackbaud 固有の調査結果を出していない。それは、個人データ侵害分析がセキュリティ、可用性、機密性、流出、管理者および処理者の義務、証拠を含まなければならない理由を示している。マルチテナント非営利プラットフォームでは、それらの義務は分散されているが希釈されていない。
保存規律は顧客の義務でもある。顧客は、定義された目的、暗号化体制、アクセスポリシー、削除スケジュール、ベンダーの保証がない限り、社会保障番号、銀行詳細、医療メモ、パスポート情報、機密の自由テキスト添付ファイルを関係システムに保存すべきではない。SEC 命令の暗号化されていない添付ファイルとフィールドに関する議論は警告である。顧客は、調達が理解していない可能性があるシステム内に機密データのポケットを作成できる。ベンダーはプラットフォームを保護しなければならないが、顧客はそこに何を入れるかを知らなければならない。
顧客保証は製品固有でなければならない
Blackbaud の記録はまた、なぜ一般的なベンダー保証が構成員管理プラットフォームには弱すぎるかを示している。非営利顧客は、ある製品を寄付者記録に、別の製品をオンラインキャンペーンに、さらに別の製品をイベント資金調達に、別の製品を分析や助成金管理に使用するかもしれない。各製品は異なるデータを保存し、異なるデフォルトを適用し、異なるエクスポートを作成し、異なる添付ファイルや自由テキスト慣行をサポートする可能性がある。インシデント通知が単に「顧客データ」がコピーされたとだけ述べる場合、顧客はどの製品、どのフィールド、どの過去記録、どのエクスポート、どの統合が関与しているかをまだ知る必要がある。
製品固有の保証はデータマップから始めるべきである。顧客は、どの Blackbaud システムが氏名、住所、寄付履歴、銀行フィールド、身分番号、ログインフィールド、エンゲージメントノート、添付ファイル、イベント参加、関係リンク、インポートされたファイルを保持しているかを確認できるべきである。それらのフィールドが暗号化されているか、検索可能か、エクスポート可能か、バックアップされているか、契約終了後も保持されているかを知るべきである。また、顧客管理者が誤って機密データを弱いフィールドに配置できるかどうかも知るべきである。Blackbaud の場合、規制当局の記録は、フィールドと添付ファイルの配置を説明責任の物語の一部にした。それは調達の教訓になるべきである。
同じ保証は統合をカバーすべきである。資金調達システムは単独で存在することはほとんどない。それらは支払い処理業者、メールプラットフォーム、分析ツール、ウェブフォーム、イベントシステム、データウェアハウス、財務システム、アイデンティティプロバイダーに接続される。主要ベンダー環境でのランサムウェアインシデントはすべての統合を直接侵害するとは限らないが、顧客はトークン、エクスポート、ウェブフック、API ログ、インポートされたファイルが影響を受けた資産に含まれていたかどうかをまだ知る必要がある。狭い「データベース」の回答は、資金調達作業がどのように自動化されているかの運用現実を逃す可能性がある。
小規模慈善団体は、使用できる形でこの証拠を必要としている。大規模大学はプライバシーカウンセル、調達スタッフ、セキュリティレビュアーを持つかもしれない。地域の慈善団体は、一人の運用マネージャー、パートタイムの資金調達者、技術監視を担当する理事会メンバーを持つだけかもしれない。ベンダー保証がエンタープライズ弁護士向けにのみ書かれている場合、内部能力が最も低い顧客が最も弱い保存と通知の決定をする可能性がある。使命主導の機関にサービスを提供するクラウドプロバイダーは、したがって、階層化された保証を公開すべきである。平易な言葉のインシデント要約、顧客固有のデータカテゴリレポート、セキュリティ管理の更新、および規制対象または高リスク顧客向けのより深い資料。
顧客保証はまた、ライブシステムとバックアップおよびアーカイブを分離すべきである。構成員は、寄付を停止したり、慈善団体に連絡を停止するよう依頼したりすると、リスクが低下すると想定することが多い。古いエクスポート、バックアップセット、アーカイブされたキャンペーンファイル、以前の顧客データベースが残っている場合、それは真実ではない可能性がある。FTC の保存懸念はこの点を具体的にする。防御可能な保証パッケージは、削除スケジュールとバックアップ保存を、顧客が自身のプライバシー通知に変換できる方法で説明すべきである。
最後に、製品固有の保証は継続的であるべきである。インシデント後にのみ始まるべきではない。顧客は、実装時、主要キャンペーン後、レガシー記録のインポート時、支払いフローの変更時、新しいモジュールの有効化時、および更新時にデータカテゴリをレビューすべきである。侵害は過去の決定を暴露する。より良いガバナンスは、暴露され得る履歴を減らす。
その継続的なレビューには、データフィールドだけでなく、役割設計も含めるべきである。資金調達、卒業生関係、助成金管理、財務、イベント、ボランティア管理、幹部報告はすべて異なるアクセスパターンを必要とする可能性がある。広範な管理者権限が便利なデフォルトになると、顧客はベンダー環境内でより大きな露出面を作成する。ベンダーが顧客に特権ロールがどこに存在するか、最後に使用されたのはいつか、どのエクスポートや添付ファイルにアクセスできるかを示せない場合、顧客は自身のリスク部分をガバナンスできない。したがって、Blackbaud の記録は共有保証義務を指し示している。プロバイダーは製品管理を十分に可視化して使用可能にしなければならず、顧客はそれらの管理をバックオフィス設定ではなく、寄付者および構成員スチュワードシップの一部として扱い、定期的な取締役会レベルのレビューを行うべきである。
耐久性のある修復が証明すべきこと
Blackbaud インシデント後の耐久性のある修復は、七つのことを証明すべきである。第一に、範囲を証明すべきである。プロバイダーはどの製品、顧客、ファイル、フィールド、添付ファイル、データカテゴリ、人物集団が影響を受けたかを知るべきである。ファイル名レビューは出発点であり得るが、銀行情報や身分番号に影響を与える範囲の主張は、内容レベルの証拠、または内容レベルのレビューが不可能である文書化された理由を必要とする。
第二に、通知の完全性を証明すべきである。フォレンジック事実から顧客通知、追加通知、投資家開示、規制当局報告、コールセンタースクリプト、取締役会報告への文書化された経路が存在すべきである。技術チームが通知が間違っていることを知った場合、修正は非公式なエスカレーションに依存すべきではない。SEC の事例は、開示管理自体がセキュリティ成果であることを示している。
第三に、保存管理を証明すべきである。データ保存スケジュールは、データがなぜ保持されているか、いつ削除されるか、誰が例外を承認できるかを説明するために、製品固有かつ顧客固有であるべきである。以前の顧客データは、防御可能な必要性なしに、本番環境またはアクセス可能なバックアップ環境に残るべきではない。保存が法的に要求される場合、機密性に応じて保護されるべきである。
第四に、暗号化とフィールドガバナンスを証明すべきである。自由テキストフィールドと添付ファイルを許可するプロバイダーは、機密データが保護されたフィールドの外に現れる可能性がある場所を知らなければならない。暗号化は、顧客が誤って機密データを暗号化されていない場所に配置できない場合にのみ役立つ。製品設計、顧客ガイダンス、スキャン、警告、デフォルト管理はすべて修復の一部である。
第五に、アクセス制御とセグメンテーションを証明すべきである。FTC は監視、セグメンテーション、多要素認証、パスワード管理、ファイアウォール管理、テストの欠陥を主張した。耐久性のある修復は、最小権限、より強力な認証、環境分離、特権アクセス監視、脆弱性解消、ログカバレッジ、テスト済み検出を示すだろう。
第六に、攻撃者の保証に依存しないランサムウェア対応を証明すべきである。コピーされたデータが破棄されたと主張される場合、会社はどの証拠がその主張を支持するか、どの不確実性が残るかを述べるべきである。削除が検証できない場合、通知は検証を暗示すべきではない。支払いは通知義務を消去しない。
第七に、顧客ガバナンスを証明すべきである。Blackbaud 顧客は、自身の慣行を修正するのに役立つ証拠を受け取るべきである。機密フィールドの使用、添付ファイルリスク、保存設定、暗号化オプション、ログアクセス、推奨通知テンプレート。ベンダーの修復は、顧客が製品内で同じ露出パターンを再作成できる場合、不完全である。
説明責任は証拠の管理に従う
最終的な配分は実効的な管理に従う。Blackbaud はホスト環境、セキュリティプログラム、インシデント対応、フォレンジックベンダー、最初の顧客通知、攻撃者との通信証拠、データ保存アーキテクチャ、製品安全策、開示管理、規制当局との協力を管理した。顧客は収集とフィールド使用の選択、ローカル通知、構成員関係、インシデント後のガバナンスを管理した。規制当局は執行を管理した。影響を受ける人々は、行動するのに十分な情報を受け取った後、限られた保護行動のみを管理した。
その配分は裏付けのない告発を必要としない。露出したすべての記録が悪用されたとは言っていない。すべての顧客がデータをひどく扱ったとは言っていない。後のすべての安全策が失敗したとは言っていない。証拠の門を持つ当事者が、正確な事実を迅速に動かす最高の義務を負っていたと言っている。SEC、FTC、州、顧客、公的記録はすべてその門を指している。
Blackbaud の事例が重要なままであるのは、非営利クラウド集中の隠れたコストを示しているからである。使命主導の機関は運用データを専門ベンダーにプールし、効率を得ることができる。しかし、ベンダーが侵害されると、寄付者、卒業生、患者、学生、支援者は分散した害の人口になる。彼らは慈善団体の顧客であるだけでなく、存在を知らないかもしれないベンダーシステムのデータ主体である。
耐久性のある教訓はシンプルで難しい。社会セクター向けクラウドプロバイダーは、何を保持しているか、何がコピーされたか、何が暗号化されていたか、何が不必要に保持されていたか、顧客に何が伝えられたか、新しい事実が現れたときに何が変わったか、再発を防ぐためにどのような安全策があるかを証明できなければならない。その証明がなければ、慈善団体データ通知は借りた信頼の行使になる。その証明があれば、顧客はベンダーインシデントを一般的な安心ではなく、正確でタイムリーで説明責任のあるコミュニケーションに変えることができる。

