Tidligere administrerende DIREKTØR for Equifax Richard Smith vidner om under en høring i Senatet, Handel, Videnskab og Transport Udvalget November 8, 2017 på Capitol Hill i Washington, DC. Foto: Getty/Alex Wong
House Republikanerne brugte 14 måneder at undersøge 2017 Equifax brud kun at nå frem til de samme konklusioner, som stort set alle andre med en hjerne, der gjorde i kølvandet af selskabets offentliggørelse. Bruddet var “helt undgås,” lovgivere fundet, og kreditoplysningsbureauet er lort ledelse gjorde absolut intet for at beskytte forbrugerne fra denne rod.
Heldigvis for Equifax, de samme lovgivere, der hjalp med at producere en ny rapport, der har formået at passere netop nul love, der ville afskrække fremtidige handlinger af uagtsomhed på denne skala. Den eneste belønning forbrugerne er blevet tilbudt er gratis kredit fryser for evigt—et nyttigt værktøj til næste gang, 147 millioner mennesker, der passede deres egen virksomhed med at få skruet med deres bukser på.
Den fulde rapport, som blev offentliggjort af Hus Tilsyn og Regeringens Reform Udvalg Republikanerne på mandag, er 96 sider lang og byder på Equifax nogle ordentlige, hvis ikke helt indlysende, rådgivning, såsom: “Reducere brugen af Social Security-Numre, som personlige identifikatorer” og “gennemføre moderniseret IT-løsninger,” vil du ikke nok.
Men der er virkelig ingen grund til at læse forbi resumé, medmindre du nyder at gøre dit blod til at koge. Det magi det er temmelig klart. Og selvom vi alle har kendt denne information i et stykke tid, nu er det hele skrevet ud under en fancy og meget officielt udseende tætning.
Her er et sammendrag af resultaterne i sin helhed:
Helt undgås. Equifax mislykkedes til fuldt ud at sætte pris på og afbøde de cybersecurity risici. Havde virksomheden taget skridt til at afhjælpe dens observerbare sikkerhedsspørgsmål, de data, brud, kunne have været forhindret.
Manglende ansvarlighed-og ledelsesstruktur. Equifax har undladt at implementere klare linjer for myndighed i deres interne IT-management-struktur, der fører til en henrettelse kløften mellem DET politiske udvikling og drift. I sidste ende, den kløft, begrænses selskabets evne til at gennemføre sikkerheds-initiativer i en omfattende og rettidig måde.
Kompleks og forældede IT-systemer. Equifax er aggressiv vækststrategi og ophobning af data, der resulterede i et komplekst IT-miljø. Både kompleksiteten og forældede karakter af Equifax ‘ s custom-bygget legacy-systemer, IT-sikkerhed, især udfordrende.
Undladelse af at gennemføre ansvarlig sikkerhed målinger. Equifax tilladt over 300 sikkerhed certifikater udløber, herunder 79 certifikater til overvågning af forretningskritiske områder. Undladelse af at forny et udløbet digitalt certifikat til 19 måneder venstre Equifax uden synlighed på exfiltration af data i den tid af cyberangreb.
Uforberedt på at støtte de berørte forbrugere. Efter Equifax informeret offentligheden om de data, brud, de var uforberedte på at identificere, alarm og støtte de berørte forbrugere. Overtrædelse hjemmeside og call-centre blev straks overvældet, hvilket resulterer i de berørte forbrugere er i stand til at få adgang til oplysninger, der er nødvendige for at beskytte deres identitet.
Du kan få en fuld kopi af rapporten her i al sin afgrundsdyb herlighed.
Debatten om, hvordan til at håndtere denne type af virksomhedernes embedsmisbrug spidse sidste år, og selv om Facebook syntes at have genantændes det denne sommer, med sine egne mange data-relaterede fejl og executive fremvisninger af uvidenhed og mangel på respekt, det er nogens gætte, om den amerikanske Kongres vil nogensinde få sit lort sammen.
Men nogle lovgivere er kommet til den konklusion, at dette aldrig vil ende, og at vi er forpligtet til at se “Equifax-som” katastrofer igen og igen, indtil regeringen begynder at pålægge massive bøder og truer med at trække virksomhedsledere væk fra fængslet.
Denne plan synes helt fornuftig—efter at alle, vi har allerede prøvet ikke at holde nogen til ansvar, og som ikke rigtig ud til at virke.
Dele Denne Historie