Trzy i pół roku od niszczycielskiego ataku systemu ransomware w 2020 r., który doprowadził do naruszeń danych u tysięcy dalszych klientów firmy produkującej oprogramowanie w chmurze Blackbaudadostawca z siedzibą w USA został ostro skrytykowany przez władze w związku z poważnymi uchybieniami w zakresie bezpieczeństwa cybernetycznego i nakazał mu podjęcie kroków zaradczych.
Blackbaud specjalizuje się w oprogramowaniu finansowym, do pozyskiwania funduszy i administracyjnym udostępnianym instytucjom edukacyjnym i organizacjom non-profit. Atak na jej systemy w 2020 roku wiadomo, iż miało to wpływ na dane wielu brytyjskich uniwersytetów, w tym Aberdeen, Birmingham, Bristol, Brunel, Durham, Anglia Wschodnia, Exeter, Glasgow, Heriot-Watt, Kent, Leeds, Liverpool, Londyn, Loughborough, Manchester, Northampton, Oxford Brookes , Reading, Robert Gordon, Staffordshire, Strathclyde, Sussex i zachodni Londyn.
Ofiarami organizacji non-profit są Action on Addiction, Breast Cancer Now, Chór bez nazwy, Maccabi GB, National Trust, Sue Ryder, Fundacja Urologiczna i Wallich. Dane na Darczyńcy Partii Pracy zostało również odebrane.
Jak się okazało, na każdym etapie reakcji Blackbaud nie przestrzegał uznanych i zalecanych najlepszych praktyk w zakresie reagowania na incydenty.
Atak rozpoczął się w lutym 2020 r. i został wykryty w maju, ale Blackbaud czekał prawie dwa miesiące, aby poinformować ofiary. Następnie otwarcie ujawnił, iż zapłacił okup w wysokości 24 bitcoinów w zamian za obietnicę, iż gang zajmujący się oprogramowaniem ransomware usunie dane, ale nigdy nie potwierdził, iż tak się stało.
W skardze opublikowanej 1 lutego USA Federalna Komisja Handlu (FTC) stwierdziła, iż Blackbaud nie wdrożył odpowiednich zabezpieczeń w celu ochrony i zabezpieczenia danych swoich klientów.
„Kiepskie praktyki firmy Blackbaud w zakresie bezpieczeństwa i przechowywania danych umożliwiły hakerowi uzyskanie wrażliwych danych osobowych milionów konsumentów” – powiedział Samuel Levine, dyrektor Biura Ochrony Konsumentów FTC. „Firmy mają obowiązek chronić przechowywane przez siebie dane i usuwać dane, których już nie potrzebują”.
W swojej skardze FTC stwierdziła, iż firma Blackbaud oszukała swoich klientów, nie wdrażając zabezpieczeń fizycznych, elektronicznych i proceduralnych w celu ochrony ich danych, mimo iż obiecała to zrobić.
Między innymi nie monitorowała powtarzających się prób włamań do jej systemów, nie segmentowała danych, aby uniemożliwić im dostęp do nich, nie upewniała się, iż niepotrzebne dane zostały usunięte, nie wdrożyła uwierzytelniania wieloskładnikowego (MFA) oraz nie testowała, nie przeglądała i nie oceniała swoich mechanizmów bezpieczeństwa . Pozwoliło także swoim pracownikom na używanie domyślnych, słabych lub identycznych haseł do swoich kont.
W wyniku tych problemów osoba odpowiedzialna za włamanie mogła swobodnie poruszać się po wielu środowiskach, wykorzystując istniejące luki w zabezpieczeniach i konta administratora, uzyskując dostęp do niezaszyfrowanych danych klientów firmy i je usuwając.
Ponadto FTC stwierdziła, iż Blackbaud zatrzymywał dane znacznie dłużej, niż było to konieczne do celów, dla których były przechowywane – w związku z tym niektóre dane dotyczyły organizacji, które nie były już klientami.
FTC powołała się również na dwumiesięczne opóźnienie w powiadomieniu, mimo iż Blackbaud doskonale zdawał sobie sprawę, iż osoba atakująca uzyskała wrażliwe dane, w tym informacje finansowe i numery ubezpieczenia społecznego w USA. Stwierdzono, iż opóźnienie to zaszkodziło zwykłym ludziom, którzy nie byli w stanie zrobić nic, aby uchronić się przed kradzieżą tożsamości lub innymi krzywdami.
W przyszłości FTC proponuje nakaz nakładający na firmę Blackbaud obowiązek usunięcia danych, których nie potrzebuje już do dostarczania produktów lub usług klientom, oraz zakazujący fałszywego przedstawiania swoich praktyk bezpieczeństwa. Nakaz FTC będzie również wymagał od firmy opracowania „kompleksowego” programu bezpieczeństwa cybernetycznego w celu rozwiązania wykrytych problemów oraz powiadomienia FTC, jeżeli w przyszłości doświadczy naruszenia podlegającego zgłoszeniu.
Blackbaud został już wcześniej ukarany przez Komisję Papierów Wartościowych i Giełd, amerykański organ nadzoru finansowego, za wprowadzającą w błąd reakcję na cyberatak. Ponadto w zeszłym roku osiągnęła porozumienie w sprawie zapłaty 49,5 mln dolarów podzielonej pomiędzy wszystkie 50 stanów USA w celu rozstrzygnięcia dochodzenia stwierdzającego naruszenie przepisów stanowych oraz federalnej ustawy o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych. Został również upomniany przez Biuro Komisarza ds. Informacji w Wielkiej Brytanii.
