Nove lições de segurança aprendidas com a violação de dados da Equifax

No dia 7 de setembro de 2017, a Equifax anunciou que foi vítima de um ataque de exfiltração de dados, e que os invasores comprometeram mais de 145 milhões de registros de consumidores dos Estados Unidos. Milhões de outros registros de cidadãos britânicos e canadenses também foram comprometidos. Foi a maior violação de dados de 2017 e continua sendo uma das dez maiores violações até hoje.

Violações envolvendo cartões de crédito podem ser devastadoras, mas os cartões de crédito têm uma vida limitada. Se um ou mais cartões forem violados, basta fechar a conta que o problema é solucionado.

No entanto, o que tornou o incidente da Equifax particularmente devastador foi que grande parte das informações violadas tem vida útil muito longa. Informações pessoais, como o nome, data de nascimento, número de CPF, endereço de e-mail, entre outras, podem ser exploradas por décadas após uma violação.

Durante meu último webinar “Applying Vulnerability Management Lessons from the Equifax breach to Improve Your Security in 2019”, que você pode assistir aqui, comentei sobre a violação da Equifax e alguns dos problemas que fizeram com que este incidente acontecesse. Embora as falhas tenham sido muitas, abaixo cito nove erros e descuidos fundamentais que resultaram na violação calamitosa da Equifax:

1. Estratégia e infraestrutura de segurança ineficazes

2. Gerenciamento inadequado de patches

3. Falta de um programa de gerenciamento certificado

4. Preparação de notificação de violação deficiente

5. Sistemas legados com problemas graves de segurança

6. Estrutura de gerenciamento de TI ineficaz

7. Políticas de segurança de informações ruins

8. Falta de um inventário de software

9. Falta de conformidade com PCI para aplicações críticas

Se a Equifax tivesse implementado e executado consistentemente uma política de gerenciamento de patches eficaz, a violação de dados de 2017 teria sido evitada. Sua falha em corrigir uma vulnerabilidade crítica no Apache Struts deixou um importante sistema crítico em risco por 145 dias. Isso significa que os atacantes cibernéticos tiveram cinco meses de total liberdade para desfrutar de um dos maiores bancos de dados de consumidores do planeta.

A Equifax gastou mais de US $ 300 milhões para se recuperar da violação, e apenas US $ 75 milhões foram cobertos pela seguradora. Se a empresa tivesse investido parte desse dinheiro em uma melhor segurança da informação (gerenciamento de vulnerabilidades, etc.), ela não teria manchado sua reputação dessa forma.

A principal falha da Equifax foi que eles negligenciaram por completo a implementação de um programa de governança de informações adequado para proteger seus dados confidenciais. A lição que toda organização pode tirar desse episódio é que a violação era totalmente evitável.

Somente quando as empresas levam a sério o tema de segurança da informação, e têm um CISO com boa equipe e orçamento, podem evitar violações como a da Equifax. Caso contrário, como disse Gene Spafford, professor de ciências da computação da Universidade de Purdue “se sua posição em uma organização inclui responsabilidade pela segurança da informação, mas você não tem a autoridade correspondente, então certamente você levará a culpa quando algo acontecer”.

Para conhecer mais sobre a violação da Equifax e as difíceis lições aprendidas, assista ao meu webinar.