Mindblowing N.V.
Interactieve sessie: organisaties
De grootste gegevensdiefstal aller tijden?
Casestudyvragen (blz. 242)
1. Noem en beschrijf de zwakke plekken in de beveiliging van de TJX-bedrijven.
- TJX gebruikte nog steeds het oude Wired Equivalent Prvacy-encryptiesysteem (WEP), dat betrekkelijk eenvoudig door hackers te kraken is. Andere bedrijven waren reeds overgestapt op de veiliger WiFi Protected Access-standaard (WPA) met zijn complexere encryptie, maar TJX maakte deze overgang niet. Het was beter en veiliger geweest als TJX deze overstap wel had gemaakt.
- TJX had geen firewalls en encryptie geïnstalleerd op een groot deel van de computers die een draadloos netwerk gebruikten. Firewalls worden gebruikt om ongeautoriseerde gebruikers te verhinderen toegang te krijgen tot de eigen bedrijfsnetwerken. Een encryptie staat voor het coderen (versleutelen) van gegevens op basis van een bepaald algoritme. Doordat TJX had verzuimd deze twee te installeren, is de kwetsbaarheid van het systeem vergroot.
- Een extra laag beveiligingssoftware die TJX had gekocht, was niet op de juiste manier geïnstalleerd. Deze beveiligingssoftware gaf daarom ook geen extra beveiliging.
2. Welke bestuurlijke, organisatorische en technologische factoren droegen bij aan deze zwakke plekken?
- TJX gaf in een verslag van de Securities And Exchange Commission toe dat de creditcardgegevens zonder encryptie naar banken verstuurde, waarmee het de richtlijnen van creditcardmaatschappijen overtrad.
- TJX hield zich niet aan de beveiligingsvoorschriften die door Visa en Mastercard zijn opgesteld voor het opslaan van dergelijke gegevens die bekendstaan als de Payment Card Industry (PCI-) Data Security Standard. Volgens deze voorschriften worden winkeliers geacht om bepaalde gegevens van de kaarthouder niet in hun systemen te bewaren aangezien deze gegevens het maken van frauduleuze creditkaarten mogelijk maken. TJX bewaarde deze gegevens jarenlang in plaats van de korte tijd die daar werkelijk voor nodig was. Doordat dit organisatorisch niet op orde was, heeft dit bijgedragen aan de lage mate van beveiliging binnen de systemen, waardoor de kans op inbraak vergroot kon worden.
- De PCI-standaard werd niet goed gehandhaafd door TJX; het verplicht winkeliers twaalf account beschermende mechanismen te implementeren, waaronder encryptie, kwetsbaarheidsscans, firewalls en antivirussoftware. TJX maakt geen gebruik van encryptie en firewalls, een technologische factor die bijdroeg aan de zwakheid van TJX.
3. Welk bedrijfseffect had de gegevensschade bij TJX op TJX zelf, op consumenten en op banken?
TJX: De totale kosten voor TJX als gevolg van het gegevenslek kunnen over vijf jaren de 1 miljard dollar overschrijden. Dit zijn onder andere kosten van de oprichting van een fonds voor banken die getroffen waren door de gevolgen van lacune in de beveiliging van het bedrijf en geld om zijn gegevensdiefstal af te handelen. Dit zorgt voor een grote aantasting van de financiële positie voor TJX.
Consumenten: Consumenten waarvan de creditcardgegevens gehackt zijn, hebben ook schade opgelopen. Hun gegevens zijn niet alleen openbaar geworden, maar ze zijn ook nog veel geld kwijt door de hackers. Consumenten hebben hierdoor weinig vertrouwen in TJX gekregen en hoogstwaarschijnlijk ook in alle dochterondernemingen van TJX.
Banken: De banken die de creditcards en bankpassen uitgaven zouden mogelijk wel 300 miljoen dollar uit moeten geven alleen al voor het vervangen van de gestolen creditcards, los van het vergoeden van de geleden schade voor frauduleuze aankopen. Banken hebben daarom ook een grote financiële schade opgelopen.
4. Hoe effectief was TJX met zijn aanpak voor de problemen?
TJX nam het besluit om de beveiliging van de informatiesystemen van het bedrijf te vergroten. Tevens besloot het gedurende de komende 20 jaar de beveiligingsmaatregelen iedere twee jaar door externe auditors te laten controleren. TJX heeft de problemen daarom op een goede manier aangepakt. De veiligheid is nu een stuk groter geworden; hackers krijgen nauwelijks de kans nog binnen te kunnen dringen in de systemen van TJX. De imagoschade zal hierdoor echter niet verminderen.
5. Wie zou er in dit geval verantwoordelijk moeten worden gesteld voor de schade die het gevolg is van het gebruik van valse creditcards? TJX? De banken die de creditcards uitgegeven hebben? De consument? Licht je antwoord toe.
TJX moet verantwoordelijk worden gesteld voor de schade die het gevolg is van het gebruik van valse creditcards. Het systeem van TJX was niet goed beveiligd. De organisatie weigerde het WiFi Protected Access-standaard (WPA) systeem, firewalls en encryptie te gebruiken. Daarnaast had TJX nauwkeuriger moeten zijn met het installeren van de extra laag beveiligingssoftware. Als TJX deze zwakke plekken niet had, had de schade die het gevolg is van het gebruik van valse creditcards voorkomen kunnen worden. Klanten zijn niet aansprakelijk. Ze moeten er van uit kunnen gaan dat het systeem van een bedrijf als TJX goed beveiligd is. Ook banken zijn niet aansprakelijk. Banken zorgen er enkel voor dat creditcards uitgegeven worden. Ze hebben verder niets te maken met de beveiliging van TJX.
6. Welke oplossingen zou jij hebben om deze problemen te voorkomen?
TJX had mee moeten gaan met de nieuwste technologie. Allereerst had TJX het WPA systeem moeten gaan gebruiken, omdat dit systeem een stuk veiliger is dan het WEP systeem. Daarnaast had TJX gebruik moeten maken van firewalls en encryptie. Hierdoor wordt het voor hackers een stuk moeilijker om in te kunnen breken in de systemen van TJX. De organisatie loopt dan een stuk minder risico waardoor deze problemen voorkomen kunnen worden.
MIS in actie (blz. 242)
1. In welke mate voldeed TJX afgaande op de in deze casestudy genoemde details, aan de PCI DSS. Aan welke vereisten voldeed het bedrijf niet?
De PCI-standaard verplicht winkeliers om twaalf accountbeschermende mechanismen te implementeren, waaronder encryptie, kwetsbaarheidsscans, en het gebruik van firewalls en antivirussoftware. TJX maakte geen gebruik van encryptie en firewalls. Daarnaast voldeed TJX niet aan de standaard idee gesteld was wat betreft het bewaren van de gegevens van de creditcards. De organisatie bewaarde deze gegevens jarenlang in plaats van voor de korte tijd die werkelijk nodig was. TJX voldeed dus slechts in kleine mate aan de PCI DSS.
https://www.pcisecuritystandards.org/documents/PCI%20SSC%20Quick%20Reference%20Guide.pdf
2. Zou voldoen aan deze standaard de diefstal van creditcardgegevens van TJX hebben kunnen voorkomen?
Als TJX zich wel aan de PCI-standaarden had gehouden, dan was de kans op diefstal van creditcardgegevens een stuk kleiner geworden. De organisatie was hierdoor een stuk minder kwetsbaar inzage inbraken. TJX gebruikte echter nog wel het WEP-systeem, het verouderde systeem. Als TJX daarnaast eerder over was gegaan naar de WPA-standaard, had de diefstal voorkomen kunnen worden.
Verschillen op het gebied van datasecurity tussen de V.S. en Europa.
- In Europa is er een grotere mate van privacy en databescherming. In de VS hebben de mensen eerder de neiging de privacyregels te overtreden om bewust en onbewust tot meer kennis leidt inzake nieuwe technologie, business en omzet.
- De Amerikanen willen dat bedrijven zich houden aan hun eigen gemaakte afspraken op het gebied van dataprotectie en privacy naleving, terwijl er in Europa aan bedrijven juist naleving van privacyregels worden opgelegd zonder dat daar zelfregulering aan vooraf gaat in de desbetreffende sector.
- Definitie van persoonsgegevens: in de V.S. is die nauw, het moet gaan om direct identificeerbare gegevens. In Europa daarentegen moeten persoonsgegevens achter slot en grendel. Daarnaast is de definitie in Europa veel breder. IP-adressen, MAC-adressen en cookies zijn zaken wat Europeanen persoonsgegevens vinden; ze zijn (in)direct herleidbaar tot personen.
- Dataverzameling: in Amerika is dat ‘het mag, mits’ en in Europa is het ‘het mag niet, tenzij’.
Bronnen:
http://computerworld.nl/security/85999-reis-door-de-privacykloof-tussen-europa-en-amerika
http://webwereld.nl/e-commerce/215-eu-en-vs-verhevigen-privacyoorlog