Todos vamos a pagar por Equifax

Queda mucho por descubrir sobre la violación de datos personales en Equifax. Una cosa es cierta: escucharemos mucho más sobre Equifax en los próximos meses.

Desafortunadamente, el ambiente de amenaza creciente y las circunstancias que llevaron a la brecha no son nuevos. Lo que es aparente hasta la fecha, fue la falta de coordinación apropiada de tecnología, personas y procesos lo que resultó en el robo de 143 millones de registros personales.

  • Por cualquier razón, falla en la revisión de la vulnerabilidad conocida CVE-2017-5638.
  • Los datos personales de 400,000 clientes británicos fueron expuestos debido a un “fallo del proceso”
  • Envío de los ciudadanos afectados a un sitio de phishing.

Entonces, ¿qué podemos anticipar de aquí? Hay algunos ejemplos anteriores y patrones similares.

Los ataques en 2012 de Ababil contra las instituciones financieras estadounidenses también fueron vistos como un hito. Estos ataques se destacaron en el momento por una serie de razones. Ellos involucraron una mezcla de ataques DDoS de capa de aplicación en HTTP, HTTPS y DNS con tráfico de ataque volumétrico en una variedad de TCP, UDP, ICMP y otros protocolos IP. Se creía que eran patrocinados por el estado. Las empresas objetivo fueron anunciadas de antemano y la campaña involucró ataques simultáneos, con gran ancho de banda, en varias compañías en la misma vertical.

Y aunque las ruedas del gobierno pueden girar lentamente, siguen girando. Sucede que en la semana siguiente al anuncio de la violación de Equifax, la Oficina de Control de Bienes Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos anunció acciones tomadas contra los perpetradores de los ataques de Ababil. A principios de este mes, vino la promulgación del Departamento de Nueva York de Servicios Financieros Ciberseguridad Reglamento (23 NYCRR Parte 500). Varias de las disposiciones de 23 NYCRR Parte 500 se propusieron inicialmente después de Abibal.

A raíz de Equifax es muy probable que veamos más atención de preparación de ataques cibernéticos por parte de legisladores y reguladores. Los gobiernos de todo el mundo han sido alentados a aumentar la supervisión, y ya saben que su mejor jugada serán las sanciones financieras. Y considere: los ataques de Ababil fueron mitigados con éxito, mientras que la brecha de Equifax es un desastre de información personal que todavía se está desarrollando.

Según el Reglamento General de Protección de Datos de la UE (GDPR), las empresas podrían recibir una multa de hasta el 4% de sus ingresos globales si sufren una infracción. El Artículo 82, Derecho a la Indemnización y la Responsabilidad de GDPR, menos conocido, establece que “Toda persona que haya sufrido un daño material o moral como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir una compensación del controlador o procesador por el daños sufridos “. La aplicación de sanciones de GDPR comienza en mayo de 2018. En virtud de la Directiva de la Unión Europea sobre Sistemas de Redes e Información (NIS) – separada de GDPR – las organizaciones consideradas no conformes podrían sufrir las mismas sanciones, hasta el 4% de los ingresos.

Es importante tener en cuenta el alcance de esta y otras regulaciones. La ubicación geográfica de su negocio ha dejado de tener importancia. Usted no tiene que estar físicamente ubicado en Europa para estar sujeto a GDPR. Al igual que la regulación 23 NYCRR Parte 500, el GDPR abarca explícitamente a terceros dedicados a  “procesadores” de datos personales, sin importar dónde y en que industria se encuentre.

El aumento de las regulaciones también se está extendiendo más allá de la seguridad de los datos personales, para incluir la integridad, disponibilidad y resistencia de las infraestructuras críticas como los servicios financieros, las empresas de energía, el agua, el transporte, los servicios de información y las organizaciones gubernamentales.

La brecha Equifax no fue la primera ni será la última. La historia sugiere que, una vez más, tal vez más pronto que tarde, veremos más vigilancia, regulaciones y posibles sanciones.

Como consumidor, me parece justo que las  empresas que son laxas en su postura de seguridad y preparación, especialmente aquellos a quienes se les ha confiado nuestra información más personal, paguen un alto precio. Como alguien que trabaja en  el negocio de seguridad, no estoy seguro de que esta sea  una gran idea. Depende de qué reglas y regulaciones salgan. Si terminamos con una colección de diferentes regulaciones estatales,  federales y de la UE, podría convertirse en un laberinto de confusión. Nadie se beneficiará si todos los aspectos de la seguridad son impulsados ​​por los requisitos de cumplimiento.

Todos vamos a pagar por la violación de Equifax. ¿La pregunta es cuánto? Encontrar el equilibrio adecuado en un tiempo de gran difusión del consumidor y la política va a ser una tarea muy difícil. Casi tan difícil como hacer sistemas básicos de parches, al parecer.

Para obtener más información sobre los adversarios que apuntan a su negocio, consulte este fascinante artículo de 451 Research titulado: Doppelgangers de la industria tecnológica: Innovación de campañas en el mundo del delito cibernético

  • Posted in ASERT Blog
  • Comentarios desactivados en Todos vamos a pagar por Equifax