Lo que las empresas pueden aprender de la respuesta a infracciones de 23andMe
Tabla de contenido:
Todos los líderes empresariales y de TI temen el día en que se vean obligados a responder a una violación de datos grave. Aquellos desafortunados que experimenten un incidente de este tipo deben tener un conjunto bien ensayado de protocolos y procesos para trabajar como parte de su plan de respuesta a incidentes. Pero ni siquiera esto puede mitigar lo que viene después.
Una reciente infracción en la empresa de pruebas de ADN 23andMe ofrece una idea interesante sobre por qué la gestión de la reputación y las comunicaciones en caso de crisis deberían ser una parte fundamental de la respuesta a incidentes.
¿Que pasó?
La primera vez que los clientes se enteraron de la infracción fue en octubre, cuando la empresa de biotecnología con sede en San Francisco reveló que estaba investigando afirmaciones de que los piratas informáticos habían comprometido un gran volumen de datos de usuarios. Al menos un actor de amenazas había estado buscando activamente vender lo que afirmaba ser un tesoro de 300 TB de datos de usuarios desde agosto. Al parecer, se pusieron a la venta millones de discos en la web oscura.
It más tarde ocurrió que los piratas informáticos inicialmente violaron las cuentas de alrededor del 0.1% de su base de clientes, o 14,000 clientes, mediante una técnica clásica de "relleno de credenciales". En otras palabras, obtuvieron credenciales que los clientes habían reutilizado en múltiples cuentas y las usaron para desbloquear sus perfiles de 23andMe.
"Al utilizar este acceso a las cuentas llenas de credenciales, el actor de amenazas también accedió a una cantidad significativa de archivos que contienen información de perfil sobre la ascendencia de otros usuarios que dichos usuarios eligieron compartir al optar por la función Familiares de ADN de 23andMe y publicaron cierta información en línea", dijo el informe. firme continuó.
23andMe más tarde confirmado que un total de 6.9 millones de personas se vieron afectadas. En otras palabras, al comprometer una cuenta mediante el relleno de credenciales, el pirata informático pudo acceder a los datos de ese usuario y sus familiares, lo que aumentó considerablemente el alcance de la infracción.
Para la mayoría de las víctimas, los datos robados incluían su nombre, año de nacimiento, etiquetas de relación, porcentaje de ADN compartido con familiares, informes de ascendencia y ubicación autoinformada. Quizás no sea sorprendente que este incidente haya generado docenas de demandas colectivas.
La respuesta de 23andMe
Aquí es donde las cosas empiezan a volverse más controvertidas. Una carta enviado por los abogados de 23andMe a las víctimas de la violación el 11 de diciembre parece culpar a estas últimas por la violación. En primer lugar, afirma que “los usuarios reciclaron negligentemente y no actualizaron sus contraseñas” tras violaciones pasadas; permitiendo los ataques de relleno de credenciales.
"Por lo tanto, el incidente no fue el resultado de la supuesta falta de mantenimiento de medidas de seguridad razonables por parte de 23andMe", añade la carta.
A continuación, los abogados de la firma afirman que incluso si se produjo una infracción, ésta ha sido remediada. 23andMe restablece todas las contraseñas afectadas y ahora exige que los usuarios utilicen autenticación de dos factores (2FA) al iniciar sesión.
Finalmente, argumentan que cualquier información a la que accedan los piratas informáticos “no puede utilizarse para causar ningún daño”.
“La información que el actor no autorizado potencialmente obtuvo sobre los demandantes no podría haber sido utilizada para causar daño pecuniario (no incluía su número de seguro social, número de licencia de conducir ni ningún pago o información financiera)”, señala la carta.
Los expertos no están tan seguros. El director ejecutivo de CyberSmart, Jamie Akhtar, afirma que este argumento "no se basa en la realidad de las ciberamenazas modernas".
"Los ciberdelincuentes podrían utilizar fácilmente estos datos para lanzar campañas de ingeniería social o incluso para obtener acceso a los servicios financieros de un individuo", explica a ISMS.online. "Mucha gente utiliza el apellido de soltera de la madre como pregunta de seguridad adicional".
También hay interrogantes sobre la decisión de presentar a las víctimas de la infracción como las únicas culpables del incidente. Incluso si el 0.1% cuyas cuentas se vieron comprometidas mediante el relleno de credenciales son parcialmente culpables, los millones a quienes posteriormente se les extrajo su información de ADN no tienen ningún caso que responder, afirman los abogados de los acusados.
"El intento de 23andMe de eludir la responsabilidad culpando a sus clientes no hace nada por estos millones de consumidores cuyos datos se vieron comprometidos sin que sea culpa suya", argumenta Hassan Zavareei, uno de los abogados que representan a estas víctimas.
“23andMe sabía o debería haber sabido que muchos consumidores usan contraseñas recicladas y, por lo tanto, 23andMe debería haber implementado algunas de las muchas salvaguardas disponibles para protegerse contra el relleno de credenciales, especialmente considerando que 23andMe almacena información de identificación personal, información de salud e información genética en su plataforma. .”
Estas medidas podrían haber incluido 2FA obligatorio para iniciar sesión, algo que la empresa introdujo posteriormente. Otra forma potencial de mitigar el compromiso de la cuenta del cliente es realizar verificaciones en bases de datos de credenciales previamente violadas, como a través de una API para HaveIBeenPwned? sitio.
Un mal día para las relaciones públicas
Todo lo cual ilustra por qué las comunicaciones de crisis rigurosas y la gestión de la reputación deben ser parte de los procesos de respuesta a incidentes de su organización. Según IBM, el costo de la pérdida de negocios –que incluye el costo de la pérdida de clientes y la adquisición de nuevos clientes, así como las pérdidas de reputación y la disminución del fondo de comercio– representa casi un tercio (29%) del costo promedio de una violación de datos.
Yvonne Eskenzi, cofundadora de la agencia de relaciones públicas de seguridad Eskenzi PR, sostiene que la carta de 23andMe probablemente fue impulsada por su departamento legal, pero corre el riesgo de enojar a los clientes y alimentar una reacción popular contra la empresa.
"Una declaración de incumplimiento nunca debería ser noticia", le dice a ISMS.online.
“Las infracciones aparecen en las noticias todos los días. Sin embargo, las declaraciones suelen ser tan mundanas que no parecen un tema de conversación. Deben ser objetivos y ser utilizados por periodistas y clientes para obtener información, no especulaciones. Resalte lo que se está haciendo y lo que los clientes pueden hacer, en lugar de acentuar lo negativo”.
Seis pasos para mejorar las comunicaciones de respuesta a incidentes
Mejores prácticas en estándares de ciberseguridad como ISO 27001 puede ayudar a su organización a diseñar e implementar programas integrales de gestión de incidentes. Pero siempre hay margen de mejora.
A continuación se ofrecen algunos consejos de Eskenzi:
⦁ Implementar un plan de comunicaciones de crisis: debe incluir los detalles de contacto de las partes interesadas clave y lo que supervisarán, orientación para los empleados y planes para monitorear los canales sociales, de medios y de clientes.
⦁ Realizar simulaciones de crisis con un tercero: proporcionarán comentarios y ayudarán a prevenir problemas.
⦁ Evite acusar a las víctimas: después de la infracción, debe examinar las prácticas de seguridad e implementar medidas para evitar que vuelva a ocurrir un incidente similar y luego comunicarlo.
⦁ Asegúrese de que todas las comunicaciones públicas sean objetivas, informativas y oportunas: evite la especulación, describa qué medidas se están tomando para evitar que vuelva a ocurrir una infracción y brinde consejos prácticos sobre cómo las partes afectadas pueden protegerse.
⦁ No evite disculparse: las disculpas sinceras y las acciones significativas pueden demostrar empatía, restaurar la confianza y mejorar la percepción de la marca.
⦁ Asegúrese de que los departamentos de comunicaciones lideren todas las comunicaciones externas: la entrada legal debe limitarse a revisar sus resultados, y no al revés.
