信任问题:大学和供应商在钩子上的数据泄露
守卫来自组织供应商和合作伙伴的网络安全威胁的重要性,以及对您自己IT庄园的威胁,以痛苦的方式突出,这次是约克大学的披露,即未经证实的数据量在5月份的赎金软件攻击中从第三方云服务中被盗。
该违约者于云客户关系管理(CRM)服务的美国云客户关系管理(CRM)服务供应商,医疗组织和非营利组织,其中约克是客户的漏洞。BlackBaud表示,它“成功地阻止了”网络罪犯阻止其系统访问并完全加密其文件,并且它能够抛出它们。
在一份声明中,包括“严重”,布莱克巴邦的熟悉的关于采取数据安全的“严重”,通过自己的入场,表示不仅支付了赎金的需求,而是犯了犯罪分子的话,他们已经摧毁了面部价值的数据,并进行了披露网络犯罪分子从其自主环境中删除了数据子集的副本。
然后它等了大约两个月的时间来告知克,这利用Blackbaud的服务“记录与大学社区成员的参与,包括校友,员工和学生和扩展网络和支持者”。
虽然被盗数据不包含加密数据,密码或财务详细信息,但它可能包括基本的个人信息,学生编号,地址和联系方式,课程细节,与大学筹款或其他活动的参与记录以及专业细节 - 所有这些都是如此在目标网络钓鱼攻击中非常有价值。
在其声明中,约克表示,它已接受布莱克巴邦的保证,即数据被摧毁的数据被摧毁,但它警告其社区仍然警惕,并通知信息专员办公室(ICO)。
“我们的社会在这个时候没有必要采取任何行动,”它说。“作为最好的做法,我们建议人们仍然警惕,并及时向适当的执法当局批准任何可疑活动或疑似身份盗窃。
“我们将继续与Blackbaud一起工作以调查此事,我们继续从我们的数据保护官员和IT安全团队中获取建议。我们非常遗憾对Blackbaud的这种数据违反可能造成的不便。“
除了黑板是否有权支付赎金的权利 - 几乎每个单一的权威都说不,但一个人必须接受这是一个决定,这是对受害者的决定 - 对这一目标的回应提出了关于网络安全信任的基本问题。
在这种情况下,人们必须考虑Blackbaud的和York对恶意网络罪犯的明显信任,这是不暗示的,而York对Blackbaud的信任的表现能力,这是一个相当合理的期望。
Paul Bischoff,Comparitech的隐私倡导者说:“没有保证偷走了数据的罪犯跟随并摧毁了它。约克大学的工作人员和学生应该在寻找有针对性的网络钓鱼尝试。“
ForcePoint首席安全分析师Carl Leonard说:“赎金被支付的事实使这种情况尤其是令人不安的事情 - 不应被迫向网络犯罪分子处理货币的职位,而且它展示了大学及其合作伙伴在他们存储,管理和保护的情况下有很多改进他们的敏感数据。“
Javvad Malik,SkinnBe4的安全意识倡导者表示,Blackbaud也需要在为什么这么长时间告知约克时,也需要清理。“虽然大学已经获得了良好的并且要求,大学通知受影响的唯一的杀戮,但辛辛斯在初步违反令人担忧的近两个月之前没有意识到这一事实,”他说。“它给罪犯了一个大型机会,用于货币被盗的信息。”
欧洲,中东和非洲(EMEA)技术服务高级总监Paul Edon表示,约克并不错误地信任第三方照顾其数据,但鉴于黑客和延迟回应的事实,很明显,这两个组织之间存在脱节。
“许多大学利用第三方来帮助管理和保护其系统,”他说。“必须与大学的安全目标保持一致,经常审计,以确保他们正在满足服务级别协议。任何未对准或未能达到商定的服务水平可能导致机构整体安全的严重漏洞。“
Edon表示,在采用新的安全系统也可以帮助York保护其资产,现在确实需要专注于“坚实网络安全基金会”,以尽量减少未来的风险,不仅要特别注意技术基础 - 例如杀毒,身份和访问管理 - 但在这种情况下,更明显地教育和培训其工作人员和学生,以便自己发现和减轻威胁。
forcepoint的leonard说:“当涉及赎金软件的威胁时,对基于规则的安全性的安全方法远过于反应和缓慢。恶意演员不断寻找漏洞和方式进入网络,只有机会给予他们进入。
“需要对安全性的范例转变为用户行为,而不是威胁自己。它只是通过这样做,信号可以与大量噪声分开。“
Webroot高级威胁研究分析师Kelvin Murray表示,大学特别诱人的黑客目标,以及这些机构的庞大性质,具有多个院系和设施,使其管理和安全成为特定的挑战。然后有需要受到保护的有价值的研究数据,特别是来自国家支持的威胁演员。
“一个棘手的问题是珍贵的数据是杀人的学生笔记本电脑/桌面以及大学服务器,以及监测访问和被盗凭证对IT部门的真正困难的巨大效益,”默里说。““高度束缚的环境与大学知识共享文化不符。
“为了减轻未来的攻击,IT团队必须适当地审核连接到其网络的所有机器以及它们所持有的数据。应为第一天的员工和学生实施安全意识培训,确保他们在审查他们收到的电子邮件类型时保持警惕。“
