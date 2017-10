Deze week getuigde de net opgestapte CEO Richard Smith van kredietfirma Equifax voor een parlementaire commissie van de Amerikaanse overheid. De hack van dat bedrijf heeft niet alleen een grote impact omdat zeer persoonlijke informatie over de kredietwaardigheid van zo'n 150 miljoen mensen op straat ligt, maar ook omdat het bedrijf hard en uiterst gênant faalde in zijn IT-beveiliging.

Verbijsterende fouten

Smith kan spijt betuigen, maar 'sorry' is simpelweg niet voldoende. Om te beginnen is er iets gruwelijk mis met de tijdlijn van de ontdekking. De inbraak werd ontdekt op 29 juli en de CEO werd op de 31ste geïnformeerd. Op 2 augustus huurde hij experts in om de zaak te onderzoeken, maar gedurende twee weken liet hij zich niet eens informeren over de status van het onderzoek.

Hij kreeg een briefing op 17 augustus, twee dagen nadat jij hier om had gevraagd, maar op dat moment kwam het volgens zijn getuigenis niet eens in hem op om te vragen of persoonlijke gegevens waren bemachtigd. Dat is verbijsterend, omdat gevoelige informatie van burgers die daar niet om hebben gevraagd op een aantal plaatsen zelfs in platte tekst werd opgeslagen.

IT krijgt de schuld

Ook verdacht is de verkoop van 1,8 miljoen dollar aan aandelen van een drietal bestuursleden op 1 en 2 augustus, daags nadat de CEO op de hoogte gesteld was van de inbraak. Dat is puur toeval, stelt de CEO, ook al ging het niet om een vooraf geplande verkoop. Smith zegt dat hij deze drie al vele jaren kent en hij omschrijft ze als "mannen met integriteit". "Ik heb geen reden om te vermoeden dat ze wisten van de inbraak toen ze de verkoop aangingen", aldus de topman.

Er werd uiteindelijk met de beschuldigende vinger gewezen naar de technicus die de patch had moeten uitvoeren. Apache waarschuwde begin maart al voor de kwetsbaarheid in webframework Struts en volgens de geschreven verklaring van Smith werd Equifax op 8 maart op verwittigd door US-CERT dat de portal gepatcht moest worden.

Management, up to and including the CEO, was aware of these deficiencies in controls and did not correct them, for years. — Patrick McKenzie (@patio11)4 October 2017

Een verhelderende Twitter-thread van technoloog Patrick McKenzie over hoe het falen van security niet de schuld is van de IT-afdeling, maar terug is te voeren naar beleidfout op beleidfout.

Hierna: Het wordt erger: Equifax moest niet alleen van het gat weten, adviezen van een beveiligingsbedrijf over patching werden genegeerd omdat de security-consultants niet ervaren genoeg waren om hier verstand van te hebben.