La información de identificación personal (PII) de más de 1.4 millones de ciudadanos del estado de Washington se vio comprometida en un ataque cibernético que ha complicado aún más un fiasco de reclamos de desempleo ya complicado.
Hechos
En junio de 2020, el Departamento de Seguridad del Empleo (ESD) en el estado de Washington fue estafado de un estimado de $ 650 millones debido a reclamos fraudulentos de desempleo. Después de una larga investigación que dejó a muchos residentes legítimos de Washington esperando sus beneficios por desempleo durante semanas, la violación se vinculó a una red criminal en Nigeria. Apodado Canario disperso, el grupo utilizó PII robada para presentar miles de solicitudes de desempleo falsas en todo el país.
El 1 de febrero, casi nueve meses después, el auditor del estado de Washington, Pat McCarthy, emitió una declaración sobre una violación de datos en diciembre que expuso los números de seguro social, los números de licencia de conducir, la información bancaria y el lugar de trabajo. Más de 1,4 millones de habitantes de Washington que habían presentado reclamaciones por desempleo entre el 1 de enero y el 10 de diciembre se vieron afectados.
Con esta información, es posible que los actores malvados desvíen los cheques de desempleo a cuentas fraudulentas. Se aconseja a los habitantes de Washington que puedan haber sido afectados que cierren sus cuentas y abran una nueva. Irónicamente, la infracción tuvo lugar durante una auditoría del incidente de junio. El ESD insiste en que esta nueva brecha, después de las críticas que enfrentó por la brecha de primavera, no es responsable de este incidente. En cambio, se culpa a Accellion, un software de transferencia de archivos de terceros utilizado por la oficina del auditor.
Relacionado: La última lista de verificación de evaluación de riesgos de proveedores
El director de marketing de Accellion, Joel York, responde que el software utilizado por la oficina del auditor es uno de sus productos heredados y que se ha aconsejado a los clientes que dejen de usarlo. El nuevo producto de Accellion, kiteworks, ha ocupado su lugar y está mejor equipado para combatir las amenazas cibernéticas. Por su parte, McCarthy afirma que el estado ha estado pagando una tarifa de suscripción mensual por FTA, el software desactualizado, lo que la llevó a asumir que el producto era seguro. Ella niega haber recibido alguna advertencia de que el software necesitaba ser reemplazado.
Accellion publicó una declaración actualizada sobre la infracción de diciembre que decía en parte: «Todos los clientes de FTA fueron notificados de inmediato del ataque el 23 de diciembre de 2020. En este momento, Accellion ha parcheado todas las vulnerabilidades conocidas de FTA explotadas por los atacantes y ha agregado un nuevo monitoreo y capacidades de alerta para señalar anomalías asociadas con estos vectores de ataque «.
Lecciones aprendidas
El incidente de ESD ejemplifica varias vulnerabilidades en el panorama actual de amenazas cibernéticas. Los piratas informáticos están apuntando a sistemas nuevos y / o sobrecargados que han sido necesarios para COVID-19, incluida la atención médica, los programas de aprendizaje / trabajo remoto y los sistemas gubernamentales gravados.
Relacionado: 7 características críticas de socios proveedores seguros
Además, los expertos en seguridad cibernética a menudo señalan el software de terceros como vulnerabilidades comunes para las organizaciones. Cuando se utiliza software externo, la empresa está a merced de la seguridad cibernética del proveedor. La empresa también tiene la responsabilidad de estar al tanto de las alertas de seguridad, las actualizaciones y los parches que pueden pasarse por alto en tiempos tumultuosos.
La gestión de riesgos de terceros (TPRM) es el proceso de mantener una imagen clara de lo que sucede con los proveedores a lo largo del ciclo de vida de la relación. La gestión de TPRM vale la pena el tiempo y la inversión monetaria. En 2020, Ponemon Institute informó que más del 53% de las organizaciones han experimentado al menos una violación de datos causada por un tercero. El costo promedio de reparación de tal infracción es de $ 7.5 millones.
Consejos rápidos
AT&T Cybersecurity sugiere estos cinco consejos para remediar los riesgos inherentes a las relaciones con proveedores externos, que se resumen a continuación:
- Identifique todas las organizaciones en su ecosistema de terceros.
- Clasifique a cada proveedor externo por riesgo, es decir, el acceso que tiene el proveedor a datos valiosos, etc.
- Evalúe a los proveedores para determinar su reputación y una estrategia holística de seguridad cibernética.
- Cree políticas de remediación para proveedores externos.
- Monitorear continuamente a terceros para verificar el cumplimiento del contrato y las sólidas prácticas de seguridad cibernética
