Det er ikke et spørgsmål om du bliver hacket, det er et spørgsmål om, hvornår du bliver hacket. Det er efterhånden blevet en veletableret sandhed i sikkerhedskredse, og det er ganske fornuftigt.
Det giver ikke længere mening at arbejde med ideen om, at man kan beskytte sig 100 procent, og det er til alles fordel at få lagt den forestilling i graven.
Men som skandalen hos det amerikanske kreditbureau Equifax viser, er det helt afgørende at bygge endnu et led på læresætningen.
Det er ikke et spørgsmål om du bliver hacket, men hvornår du bliver hacket. Og hvad du gør, når du er blevet hacket.
I en af de værste datalækager nogensinde har Equifax mistet personlige oplysninger om mere end 143 millioner forbrugere, der nu er oplagte mål for internetsvindel, fordi hackere ligger inde med blandt andet deres kørekortnumre, kreditkortnumre, cpr-numre og adresser.
Men udover det grelle i selve hackerangrebet, så har Equifax sat helt nye standarder for, hvor dårligt man kan håndtere den slags hændelser. Og det er vigtigt for danske virksomheder, der bør notere sig, hvad de ikke skal gøre, når uheldet er ude.
Lad være at vente en måned med at give dine kunder besked
Equifaxs håndtering af angrebet har været genstand for nådesløs kritik, og den største fadæse er uden tvivl, at virksomheden ventede ufatteligt længe med at informere om sagen.
Det er en helt grundlæggende sikkerhedsregel, at man reagerer hurtigt, når man opdager en sikkerhedsbrist, men det lader til, at Equifax ikke har fået memoet.
Kreditbureauet opdagede angrebet i slutningen af juli måned, men pressemeddelelsen udkom 8. september – altså knap halvanden måned senere. Det er lang tids uvished for kunder og aktionærer, og det bliver ikke bedre af, at tre ledere nåede at sælge deres egne Equifax-aktier, inden offentliggørelsen fik kursen til at styrtdykke.
Til sammenligning informerede teleselskabet 3 i Danmark sine kunder mindre end tre døgn efter, at man i februar opdagede, at hackere havde fået adgang til kundedata. 3 fik ros og klap på skulderen – Equifax har fået et massesøgsmål til 70 milliarder dollars på nakken.
Et godt eksempel fra en anden branche er forskellen på bilproducenterne Tesla og Chrysler. Da to sikkerhedseksperter i 2015 gjorde opmærksom på en sårbarhed i Model S-bilerne, reagerede Tesla prompte. 24 timer senere var der en opdatering klar, og de brugere, der ikke havde trykket ”update” efter 14 dage, fik den tvangsinstalleret.
Da Chrysler opdagede en sårbarhed i en af sine Jeep-modeller, måtte virksomheden til sammenligning sende 1,4 millioner USB-nøgler ud til de berørte kunder, der så kunne gå i gang med at opdatere.
Hvis det på nogen måde er uklart, så er Equifax ikke Tesla i denne sammenligning.
Lad være med at modarbejde dine kunder
Da det kom frem, at Equifax var blevet hacket, oprettede virksomheden en dedikeret hjemmeside, hvor kunder kan tjekke, om deres data er berørt af angrebet og tilmelde sig et års gratis kreditovervågning for hurtigt at opdage, hvis data misbruges til svindel.
Umiddelbart et fint tiltag, men flere eklatante brølere kaster en tung skygge over, hvad der nu ligner en dårlig parodi på kundeservice.
Udover at det nye site i sig selv var fyldt med sårbarheder, så var der knyttet en særlig klausul til den kreditovervågning, der kunne erhverves på siden. Ved at benytte Equifax-produktet fraskrev man sig tilsyneladende retten til at medvirke i gruppesøgsmål mod virksomheden, og den detalje fik flere kunder op i det røde felt.
Klausulen var indført 6. september – to dage før offentliggørelsen af angrebet.
Det vidner om en virksomhed, der A: er lusket og B: godt selv ved, at den har kvajet sig gevaldigt.
Lad være at kommunikere uklart
Halvanden måned efter Equifax opdagede angrebet, er det stadigvæk uklart, i hvilket omfang hackerne har haft adgang til virksomheden.
Equifax meldte først ud, at hackerne havde ”udnyttet en sårbarhed i en amerikansk website-applikation”.
Nå.
Først en uge efter offentliggørelsen af angrebet, kunne Equifax så fortælle, at der tale om en sårbarhed i Apache Strut. Den sårbarhed blev patchet to måneder før angrebet, så det ligner endnu en historie om en virksomhed, der ikke har opdateret sin software.
Måske værst af alt, er det stadig uklart, præcis hvem der er ramt af angrebet.
Kort fortalt: Det dedikerede website til at tjekke, om ens data er omfattet af hacket, virker ikke.
Kunder får den samme besked, uanset hvilke data de taster ind, hvilket er yderst foruroligende for de amerikanske forbrugere, der gerne vil vide, Equifax har mistet deres kreditkortnumre.
I den officielle kommunikation har Equifax isoleret angrebet til USA, Canada og England, men nu viser en undersøgelse fra en uafhængig sikkerhedsekspert, at også sydamerikanske kunder tilsyneladende har mistet data.
Man sidder tilbage med følelsen af, at der er to muligheder.
1: Equifax aner ikke, hvad der foregår.
2: Equifax forsøger at skjule, hvad der foregår, nedtone hvilket omfang det foregår i og begrænse forbrugernes mulighed for at reagere på det.
Ingen af delene er i nærheden af at være acceptable, og som resultat står virksomheden nu overfor historiens største gruppesøgsmål.
Lad ovenstående være en guide til, hvad man som dansk virksomhed IKKE skal gøre, hvis/når man bliver ramt af et cyberangreb.
