Больше, чем кредитные рейтинги: почему Equifax для бизнеса имеет значение

Джефф Поллард и Джозеф Бланкеншип

Когда Эквифакс объявил инцидент кибербезопасности, потенциально затронувший 143 миллиона потребителей в США, наша реакция на взлом была аналогична той, через которую, как мы полагаем, прошли многие люди: Были ли мы затронуты? А как насчет наших супругов и других ближайших родственников? Лучше следите за старым кредитным отчетом или инициируйте замораживание кредита. Поскольку Forrester предлагает кредитный мониторинг в качестве преимущества для сотрудников, и оба автора участвуют в программе, одна из этих проблем решена. И все это имеет смысл: Equifax известен большинству потребителей как агентство кредитной отчетности.

Читайте также:Массовая утечка данных Equifax подвергает опасности 143 миллиона клиентов | Охранная фирма Mandiant, как сообщается, помогает Equifax в ликвидации последствий взлома | vrenture.com/: Узнайте, были ли вы одним из 143 миллионов взломанных

Но это еще не все, что делает Equifax. Давайте посмотрим на доступные продукты Equifax, предназначенные для потребителей — кредитный мониторинг, помощь в защите личности и продукты кредитного рейтинга/кредитного отчета. Существует три основные линейки продуктов, которые, что неудивительно, ориентированы на кредитный мониторинг и кражу личных данных. И тогда есть Эквифакс для бизнеса Использование: Добро пожаловать в совершенно другую компанию. Списки Эквифакса 57 предложений для предприятий, начиная с буквы А и заканчивая буквой В. Здесь есть все: от Auto Insights для автодилеров до инструментов визуализации.

Так почему же Equifax для бизнеса так важен? Equifax собирает информацию о вас. Вы можете не знать, что это так, но это так. Даже если вы не входите в число взломанных пользователей, они вас знают. Вы не знаете того, что знают о вас они, и у вас нет возможности узнать это в обычных обстоятельствах. На самом деле это нарушение может – как ни странно – дать вам представление о том, что Equifax знает о вас и что он делает с этой информацией. Вот почему:

Equifax — крупный агрегатор данных, брокер данных и аналитическая фирма. Он собирает, анализирует и извлекает ценную информацию из данных — собственных данных, а также данных, которые он собирает и приобретает у других агрегаторов данных.

Сейчас мы не знаем, какая именно информация была взломана. Также может быть включена информация, агрегированная Equifax.

Нам нужно больше прозрачности, прежде чем мы поймем весь масштаб нарушения. Это покажет нам, насколько далеко это может зайти за рамки базовых персональных данных.

Не думайте о киберпреступности

Автоматически предполагается, что Equifax был взломан киберпреступниками, стремившимися получить доступ к информации для кражи личных данных и мошенничества с кредитными картами. Это отличный первоначальный мыслительный процесс, учитывая то, что мы испытали в прошлом, но вот несколько сценариев «а что, если»:

КИТ: Эта информация используется для того, чтобы выдавать себя за руководителей фирм, чтобы заставить сотрудников переводить крупные суммы денег на мошеннические счета по всему миру. Наличие такого количества подробностей о человеке облегчает выдачу себя за него. Внезапно мошенничество с личными кредитами может перерасти в финансовое мошенничество. За последние несколько лет подобные нападения уже происходили несколько раз.

Шпион: Эта информация позволяет кому-то украсть личность. Идентификация используется, когда кто-то регистрируется для голосования. Имеются подтвержденные доказательства попыток иностранных организаций повлиять на выборы в США в 2016 году. Используя эту информацию, а также другие хакерские атаки на разных этапах нашего избирательного процесса, национальное государство может попытаться сорвать выборы 2018 или 2020 года. В качестве примера похожей, но другой ситуации, иллюстрирующей, как это может произойти, рассмотрим Нарушение OPM что привело к снижению возможностей американских спецслужб по сбору разведывательной информации после взлома.

Игра «а что, если» имеет ценность — она гарантирует, что мы не будем относиться к нашим предположениям как к уверенности. Так что же делать специалистам по безопасности и рискам? Есть две области, которые необходимо оценить: что может произойти в личном плане и что может произойти в профессиональном плане.

Чтобы защитить себя:

Предположим, вы скомпрометированы. Широта и глубина этого нарушения, а также всех других произошедших нарушений, делают его можно с уверенностью предположить, что ваша личная информация находится в руках людей, которые будут использовать ее в гнусных целях. целей. Действуй соответственно.

Используйте кредитный мониторинг, но не то, что предлагает Equifax. Обратитесь к их конкуренту, зарегистрируйтесь через своего работодателя, если это открытая регистрация на льготы, через компанию-эмитент вашей кредитной карты или даже через предложение для выпускников.

Подумайте о заморозке кредита. Но обязательно сделайте это через все 3 кредитных бюро и помните, что замораживание может повлечь за собой расходы в зависимости от вашего штата.

Если в ваших паролях или секретных вопросах используется ЛЮБАЯ личная информация (адреса, школы, марки и модели автомобилей и т. д.), немедленно измените их. Возможно, кто-то, кто хочет выдать себя за вас, чтобы украсть вещи, теперь знает о вас довольно много.

Нам необходимо требовать контроля над нашей информацией. XXI веку нужен Билль о правах на данные. GDPR — достойное начало, но оно не заходит достаточно далеко. Людям необходима прозрачность в отношении сбора и использования данных. Что еще более важно, нам нужно право сказать «нет» компаниям, которые хотят собирать наши данные, если нам не нравится объем сбора или то, как его можно использовать. Мы также должны иметь право сказать, что определенные компании никогда больше не смогут получить наши данные, что за нарушение нашего доверия и их ответственности за защиту нашей информации должны быть предусмотрены последствия.

Чтобы защитить свою фирму:

Пока мы не узнаем больше, нам придется думать, что будет удивительно легко выдать себя за… ну, кого угодно. По первоначальным данным, пострадало 44 процента территории США. Но, по данным Бюро переписи населения, 22,8 процента жителей США моложе 18 лет. Таким образом, от этого могут пострадать 56 процентов всего взрослого населения США.

Заблокируйте процессы финансовых переводов. Прежде чем что-либо платить, обязательно включите разделение обязанностей, а также многофакторную аутентификацию и авторизацию.

Сохраняйте бдительность в отношении фишинговых писем. Увеличьте обучение конечных пользователей, чтобы помочь пользователям их обнаружить, а также объяснить сотрудникам значимость рисков, связанных с социальными сетями.

Разверните управляемые службы обнаружения и реагирования. Работайте с поставщиками, которые осуществляют превентивный поиск угроз, чтобы выявлять угрозы как можно раньше.

Инвестируйте в аналитику безопасности. Аналитика поможет выявить аномальное поведение раньше, чем это сделают сигнатуры.

Безопасность веб-приложений снова в моде. Наши исследования показывают, что 34% утечек данных были результатом атак на веб-приложения. Включите тестирование веб-приложений в свой SDLC.

Просмотрите свой план реагирования на инциденты, включая план публичного оповещения. Что может быть хуже, чем утечка данных? Плохое реагирование на утечку данных. Практикуйтесь с помощью моделирования.

Первый форум Forrester по конфиденциальности и безопасности пройдет на следующей неделе в Вашингтоне, округ Колумбия. Чтобы узнать больше о форуме и зарегистрироваться, посетите Forrester's Форум конфиденциальности и безопасности 2017 страница.