Никакого доверия
Взлом компании Equifax вызвал громкий скандал, который не обойдется без последствий. Компании, накапливающие огромные массивы данных, должны нести особую ответственность. Но заслуживают ли они нашего доверия?
Это был самый серьезный взлом в истории информационных технологий США: в начале сентября бюро кредитных историй Equifax объявило о том, что хакеры нашли уязвимость в системе доступа и добрались до персональных данных примерно 145,5 млн американцев. Имена, даты рождения, адреса, номера социального страхования, водительские права и номера кредитных карт могли быть скопированы. Степень и размер ущерба на момент подписания номера еще не были оценены.
Доселе невиданные потери
Украденные данные — это револьвер со взведенным курком. Equifax — это самое крупное из трех бюро кредитных историй в США. Оно оценивает кредитоспособность около половины американцев. Украденные данные могут позволить злоумышленникам брать на чужое имя кредиты, оформлять ипотеки или социальные пособия, совершать покупки по чужим кредитным картам и получать почтовые отправления. Преступники могут шантажировать человека, угрожая его репутации, или сорвать работу компании. И даже неважно, всплывут эти данные или нет: отныне и навсегда останется сомнение в том, является ли человек на самом деле тем, за кого он себя выдает, предъявляя данные о своей личности.
Но что свидетельствует об истинной катастрофе в сфере данных, так это поведение самой компании Equifax: некомпетентное, наглое, безответственное, а может, даже преступное. И дело здесь не только в том, что перед самым сообщением о взломе трое сотрудников быстро продали акции компании на сумму $1,8 млн.
Руководство компании также сочло хорошей идеей предложить жертвам своей беспечности подписку на сервис и одновременно отказ от права обратиться с иском в суд. И хотя компания пошла на попятную после резкой критики, осадок остался. В этой ситуации они вообще вели себе не самым лучшим образом: ищущих помощи пострадавших Equifax отправляла по ссылке в Twitter на фишинговую страницу (на радость добрым хакерам), а наспех налаженная аварийная служба, созданная практически на коленке, работала с массой ошибок.
Наглость или некомпетентность
Но это не идет ни в какое сравнение с капитальным сбоем в работе IT-отдела: они на протяжении месяцев знали об уязвимости, но не предприняли достаточных мер, чтобы ее устранить. Это нормально? Даже Министерство внутренней безопасности США и производитель программного обеспечения предупреждали об этом, но защита данных клиентов, видимо, не слишком заботила компанию.