Case Target – Tietomurron kustannusten anatomiaa

Case Target – Tietomurron kustannusten anatomiaa

Julkaistu Uncategorized | 0

Viime aikoina on paljon keskusteltu ja suorastaan ”kohistu” siitä miten yritysten tulee varautua EU:n tietosuoja-asetuksen sakkoihin. Jo jonkun verran ikää omaava case Target antaa hyvän näkymän siihen että varsinainen kustannuskuorma tietomurrosta voi tulla ihan muualta kuin viranomaissanktioista.

 

Herätyskello soi – brändi nukkuu Ruususen unta

Marraskuussa 2013 US:n vähittäiskaupan yksi suurimmista toimijoista Target sai viitteitä tietomurrosta. Targetin turvallisuustiimi päätti kuitenkin olla reagoimatta. Tietomurto oli kuitenkin tapahtunut ja sen seurauksena 40 miljoonan asiakkaan luottokorttitiedot päätyivät murtautujille. Tietomurto koski yhteensä 70 miljoonan henkilön tietoja. Target ei ottanut vakavasti havaintoja ja viitteitä mahdollisesta tietomurrosta. Myöhemmin Target USA:n oikeusministeriöltä virallista viestiä todennäköisestä tietomurrosta ja kuuden päivän päästä tästä ilmoituksesta Target varoitti asiakkaitaan tietomurrosta. Tietomurto oli toteutettu kokonaisuuden eri heikkouksia hyödyntäen järjestämällä pääsy Targetin yli 2000 myymälän laitteisiin jossa asiakas- ja luottokorttitietoja päivittäin käsiteltiin.

 

Laskupino kasvaa…

Targetin virallinen talousraportointi vuoden 2015 lopussa paljasti tarkempia lukuja Targetille tietomurrosta koituneista taloudellisista maksuista. Näistä valtaosa tuli yrityksen b2b-sopimuksista. Yrityksen b2b-sopimukset sisältävät tyypillisesti erilaisiin poikkeus-, häiriö- ja tietomurtotilanteisiin liittyviä sanktioklausuuleita joista monet ovat erittäin tiukkoja ja sanktioiltaan suuria. Nämä voivat hyvinkin realisoitua tietomurtotilanteissa. Tietomurroilta voi suojautua ns. kybervakuutuksilla, niiden kattavuuskykyä eri tilanteissa on syytä tarkoin tutkailla niitä otettaessa.

Targetin talousraportointi kertoi tietomurron kustannuksista seuraavaa:

Yhteensä 252 miljoonan dollarin kustannukset, joista Targetin ottama kybervakuutus kattoi 90 mUSD eli yhteensä Targetille jäi riihikuvaa maksettavaa 16mUSD. Koska viedyt tiedot sisälsivät luottokorttitietoja niin Targetille kertyi maksettavaa pääosin finanssitoimijoille seuraavasti: Visalle Target maksoi 67 mUSD, muille pankeille (Umpqua Bank, Mutual Bank, Village Bank, CSE Federal Credit Union, and First Federal Savings of Lorain) yhteensä 39 mUSD. Kuluttaja-asiakkaiden ryhmäkanne kerrytti Targetille maksettavaa ”vain” 10 miljoonaa dollaria.

 

Ei vara venettä kaada

Jälkiviisaana on helppo sanoa että Targetin olisi tullut reagoida ensi viitteisiin tietomurrosta. Reagointi ei tosin aina välttämättä estä murtoa, vahinko saattaa olla jo tapahtunut mutta reagointialttius ja reagoinnin aikaisuus ja asianmukaisesti toteutetut kiiretoimet vaikuttavat huolellisuusarviointiin joka vaikuttaa niin kaupallisten kuin viranomaissanktioiden määrää arvioitaessa. Kaupallisten sanktioiden osalta on toki neuvotteluvaiheessa hyvä yrittää neuvotella kohtuullisia ehtoja, joskus kaupalliset sanktioehdot on leivottu usein aika kovin kovaan kuosiin.

SANS Institute on arvioinut miten Target olisi voinut estää tietomurron tapahtumisen. Tietoturva on monien osien summa ja tämä näkyy myös arvion tiivistelmälistauksessa jossa listattiin pääsyyt tietomurron taustalla: ”Vendors were subject to phishing attacks, network segregation was lacking, point of sale systems were vulnerable to memory scraping malware and detection strategies employed by Target failed”.

Huomionarvoista on että hiukan ennen tietomurtoa Target selvisi puhtain paperein luottokorttitietoja käsittelyä koskevan PCI-standardin noudattamisesta. Mikään audit-tulos tai standardin noudattaminen ei yksin takaa turvaa vaan suojaa tietomurtoja vastaan täytyy rakentaa niiden lisäksi kattavan ja alati kehittyvän tietoturva-analyysin, -seurannan ja näihin liittyvän jatkuvan kehitystyön ja kerroksittaisen suojautumisen varaan ottaen huomioon myös kaikki mahdolliset kumppanirajapinnat – ja parantaen jatkuvasti kulloistakin kuuluisaa ”heikointa lenkkiä” jonka kautta murhe yleensä käynnistyy. Targetin tapauksessa tämä heikoin lenkki oli sen yhden alihankkijan heikko varautuminen phisfing-hyökkäyksiin joiden kautta avautui lopulta väylä Targetin myymälöiden asiakastietoja käsitteleviin laitteisiin.

Tällaisten tietomurtojen saaga on pitkä. Nyt toukokuun lopussa 2017 tuli tieto että Target maksaa vielä 18,5mUSD osavaltioissa olevien juttujen sovitteluratkaisuna ja siinä yhteydessä sitoutuu mm. seuraaviin toimenpiteisiin: ”free credit monitoring for those affected, keep its software up to date to prevent hackers from finding new weaknesses they can exploit, maintain appropriate encryption policies and keep cardholder information on a separate network.” Tietomurrolla on pitkä häntä.

Ps.

Yahoo on tuoreempi esimerkki tietomurtojen aiheuttamista ”dollarihaitoista”. Yahoo julkisti isot pari vuotta jatkuneet tietomurrot syys- ja joulukuussa 2016. Verizon on hieronut kauppaa Yahoosta ja helmikuussa ilmoitettiin että kauppahinta oli laskenut aikaisemmasta 350 mUSD. Kauppahinnan lasku kytkettiin julkisuudessa suoraan tietomurtojen syyksi.

  Jari Perko, ASML, @asiakkuus