Waarom Duurde Het Zo Lang Voordat Yahoo De Beveiligingsbreuk Openbaarde?

{h1}

Linkedin, myspace, yahoo: waarom duurt het zo lang voordat bedrijven onthullen dat ze zijn gehackt?

Dit artikel is oorspronkelijk gepubliceerd in The Conversation. De publicatie droeg het artikel bij aan Expert Voices van WordsSideKick.com: Op-Ed & Insights.

Eind september kondigde Yahoo aan dat ten minste 500 miljoen gebruikersaccounts waren gecompromitteerd. De gestolen gegevens omvatten gebruikersnamen, e-mailadressen, telefoonnummers, geboortedata en versleutelde wachtwoorden, maar geen creditcardgegevens. Grote datalekken zijn steeds gebruikelijker geworden: alleen al in 2016 zijn we op de hoogte van Yahoo's overtreding evenals de LinkedIn-hack (waarmee 167 miljoen accounts zijn gecompromitteerd) en de MySpace-schending (360 miljoen accounts).

De Yahoo-inbreuk trof meer gebruikers dan de andere twee, maar ze delen allemaal een cruciaal element: ze werden na de feiten aangekondigd aan het publiek. De LinkedIn-hack gebeurde in 2012, MySpace werd geschonden in 2013 en Yahoo werd gehackt in 2014. Pas in 2016 ontdekten gebruikers van de drie sites dat hun gegevens waren gestolen.

Wanneer persoonlijke informatie wordt gestolen, is een snelle reactie belangrijk. Klanten moeten hun wachtwoorden wijzigen en andere stappen nemen om hun identiteit te beschermen, inclusief het beveiligen van bankrekeningen en kredietregistraties. Als mensen niet weten dat er een overtreding heeft plaatsgevonden en dat ze deze beschermende stappen moeten nemen, blijven ze kwetsbaar.

Dus waarom duurt het zo lang voordat bedrijven onthullen dat ze zijn gehackt? Het is niet zo eenvoudig als je zou denken - of hoop.

Tijd is een sleutelfactor

Het is nog niet duidelijk wanneer Yahoo over zijn aanval heeft gehoord, hoewel in dit geval de timing twijfelachtig is. Een nieuwsartikel dat op 1 augustus werd gepubliceerd, citeerde een woordvoerder van het bedrijf die zei dat Yahoo 'op de hoogte was' van het feit dat een hacker inloggegevens voor 200 miljoen Yahoo-accounts op een online zwarte markt verkocht.

Maar meer dan een maand later diende het bedrijf een document in bij Amerikaanse financiële toezichthouders, die zeiden dat het geen enkele claim van "ongeautoriseerde toegang" kende die van invloed zou kunnen zijn op de lopende verkoop aan Verizon. En Verizon zei publiekelijk dat het slechts twee dagen voordat Yahoo het aan de wereld had aangekondigd, had gehoord van de inbreuk.

Al die gebeurtenissen waren natuurlijk jaren nadat de bres eigenlijk was gebeurd. Dit is een ongewoon lange vertraging. Volgens een recent rapport van netwerkbeveiligingsbedrijf FireEye bedroeg de mediane tijd dat het netwerk van een organisatie was gecompromitteerd voordat de inbreuk werd ontdekt 146 dagen.

Dat omvat alle groottes van bedrijven in alle soorten bedrijven. Als een groot internetbedrijf met een extreem grote gebruikersgroep, is het redelijk om te verwachten dat Yahoo mogelijk veel eerder dan andere bedrijven inbreuken detecteert - en vrijgeeft.

Het detecteren en bevestigen van de hack

Het bedrijf heeft gezegd dat het gelooft dat de aanval door een nationale regering is uitgevoerd, hoewel het niet heeft gezegd uit welk land. Dat kan erop duiden dat de aanval geavanceerder was en daarom moeilijker te detecteren - maar het is onmogelijk om te weten of dat waar is, omdat het bedrijf heeft geweigerd om details te bieden over hoe de inbreuk werd bereikt.

Bovendien kan iedereen op het internet alles claimen wat ze willen - bedrijven moeten hun systemen onderzoeken om erachter te komen of iemand die adverteert dat ze inloggegevens te koop hebben, daadwerkelijk iets heeft meegenomen, of er gewoon mee bezig is om problemen te veroorzaken.

Niet-technische redenen die Yahoo zo lang duurde om de hack te ontdekken, waren onder meer frequente veranderingen in het leiderschap van zijn beveiligingsteam en de stress bij het bedrijf om een ​​koper te vinden.

Het publiek informeren

Zodra een bedrijf heeft geleerd dat het is gehackt, is het belangrijk om klanten - en het publiek - te vertellen dat mensen de juiste maatregelen kunnen treffen om hun informatie, privacy en identiteiten te beschermen.

Op dit moment is er geen federale wet betreffende wanneer bedrijven het publiek moeten informeren over inbreuken op de informatiebeveiliging. In 2015 stelden de Democraten voor om bedrijven 30 dagen de tijd te geven om een ​​hack te ontdekken om aan te kondigen dat het was gebeurd. Die inspanning is mislukt omdat veel staten, die verschillende vereisten hebben, striktere normen hebben die de federale wet zou hebben overtreden.

Herstel van een bedrijfsreputatie

Techbedrijven kunnen doorgaans snel herstellen van datalekken - als ze snel reageren en de nodige stappen nemen om hun gebruikers op de hoogte te stellen. Dat geldt zelfs voor bedrijven wiens datalekken resulteerden in het compromitteren van creditcardgegevens van klanten, zoals Target in 2013 en Home Depot in 2014.

Rechtszaken die na de inbreuken worden ingediend, hebben miljoenen aan afwikkelingskosten aan bedrijven gekost, om nog te zwijgen van juridische kosten en verloren zaken. De les is duidelijk: vroege openbaarmaking van een datalek is beter. Als Yahoo al in augustus - of zelfs jaren geleden - op de hoogte was van de hack, heeft het bedrijf het vertrouwen van zijn gebruikers duidelijk verraden.

Hoewel Yahoo er bij gebruikers op aandrong om hun wachtwoorden en beveiligingsvragen te wijzigen nadat de beveiligingsinbreuk openbaar werd gemaakt, trokken duizenden gebruikers naar sociale media om hun woede kenbaar te maken dat het bedrijf twee jaar nodig had gehad om de datalek op te sporen. De rechtszaken die tegen Yahoo zijn aangespannen, nemen toe.

Het kan zeer moeilijk zijn voor bedrijven, zelfs op technologie gerichte bedrijven zoals Yahoo, om zichzelf te beschermen tegen bekwame en vastberaden hackers. Maar het niet melden van de aanval zodra deze wordt vermoed, kan bijna net zo schadelijk zijn als de hack zelf.

Yanfang Ye, universitair docent computerwetenschappen en elektrotechniek, West Virginia University

Dit artikel is oorspronkelijk gepubliceerd op The Conversation.Lees het originele artikel.


Video Supplement: .




WordsSideKick.com
Alle Rechten Voorbehouden!
Reproductie Van Materialen Toegestaan Alleen Prostanovkoy Actieve Link Naar De Site WordsSideKick.com

© 2005–2019 WordsSideKick.com