Ipad

分析:140万人に影響するデータ侵害に対するワシントン州の対応は驚くほど冷酷だ

分析:140万人に影響するデータ侵害に対するワシントン州の対応は驚くほど冷酷だ
(ビッグストックフォト)

私たちのせいじゃない。頑張ってください、あなたは自分の力で何とかしてください。

これらは基本的に、ワシントン州政府からその住民と最近のワシントン州監査官のデータ侵害の影響を受けた人々への 2 つの主なメッセージです。

長年、データ侵害やセキュリティ対応状況を管理してきた者として、私は、これまでの州の対応の姿勢と(行動の欠如)に心から驚いています。

他の大規模なデータ侵害事件と比べても、州はこれまでで最も強硬な責任放棄を表明している。そして、州に保護を託されたデータを持つ市民に対する対応は、驚くほど冷酷で不十分だ。

侵害についてわかっていること

この漏洩には、氏名、社会保障番号、運転免許証番号、州の身分証明書番号、銀行情報、勤務先など、少なくとも 147 万人のワシントン州住民の個人情報が含まれています。

データは元々ワシントン州雇用保障局(ESD)が所有していたようです。しかし、問題のデータは、失業保険の不正請求による6億ドルの損失に関する調査の一環として、ワシントン州監査官の管理下に置かれていました。さらに混乱を招いているのは、ワシントン州監査官が、データはカリフォルニア州パロアルトに拠点を置くAccellion社から盗まれたと主張していることです。同社のホームページには、「危険な第三者との通信による情報漏洩やコンプライアンス違反を防止する」というサービスが謳われています。

Accellionの担当者はシアトル・タイムズ紙に対し、今回のデータ漏洩は20年前の「レガシー製品」が関係していたと述べた。同社は顧客にその使用中止を促していたという。Accellionの最高マーケティング責任者であるジョエル・ヨーク氏によると、同社はユーザーに新製品へのアップグレードを促していたと報じられており、データ漏洩後、監査役はそれに応じたという。

これは、ワシントン州雇用保障局に委託されたデータが、監査の一環としてワシントン州監査官に引き渡されたことを意味します。そのプロセスの一環として、データはワシントン州監査官が安全なデータ転送のために選定したベンダーであるAccellion社に保管されていた際に盗まれ、おそらく監査にも使用されたと考えられます。さらに、Accellion社の主張が真実であれば、データは攻撃者が「20年前のレガシー製品」に侵入した際に盗まれたことになります。Accellion社は顧客にアップグレードを勧めていましたが、ワシントン州監査官は侵入後までアップグレードを促さず、後手後手という形で対応を迫られたことになります。

重要なのは、社会保障番号、運転免許証番号、州発行の身分証明書番号、銀行口座情報、勤務先など、これらは重要かつ容易に悪用される情報であるということです。これらの情報は、銀行詐欺、個人情報窃盗、あるいはその両方に容易に利用される可能性があります。

反応

ワシントン州監査官のホームページには、Accellion 事件についてさらに詳しく知るためのリンクが掲載されています。

もう一つの重要な事実は、影響を受けた人々を保護するためにこれら 3 つのデータ管理者がとった対応に関するものです。

まず、Accellionのサイトにはこのデータ侵害に関する情報は一切掲載されていません。実際、サイトにはそれについて一切触れられていません。

ワシントン州雇用保障局も同様です。そこには全く情報がありません。

ワシントン州監査官のウェブサイトは、その功績として、この侵害について大きく宣伝し、それに関する特別ページへのリンクを設けています。しかし、被害に遭った場合の対処法に関するガイダンスは、実に複雑な複数のリンクを辿る必要があります。そして結局のところ、ガイダンスの内容は、悪意のある活動を監視するために自分で実行する必要がある一般的な手順に過ぎません。

3 つの異なる代理店サイトにある 3 つの別々の Web ページを正常にナビゲートすると、この状況に具体的にまったく触れていない一般的なガイドが 3 つ見つかります。

最も重要なことは、この侵害の被害者に代わって、いずれかの当事者が自ら信用調査や個人情報盗難の監視を実施している兆候がないことです。

違反の責任者は誰ですか?

まず、責任の否認について見てみると、州は事実上、ベンダーを非難し、事態はベンダーの責任だと主張していることになります。これは、サードパーティベンダーを通じて組織が侵害された最初の事例ではありませんし、最後でもありません。特に注目すべきは、2013年に発生したTargetのデータ侵害です。これは当時としては最大規模の侵害の一つでしたが、サードパーティ組織への侵害が成功した結果でした。

しかし、今回の事件において、州は(つまりあなたの)データに対する管理責任を放棄し、ベンダーだけを全面的に非難し、一切の責任を負わない姿勢を見せています。また、ベンダー側が、より安全な選択肢があったにもかかわらず、州が費用を負担しないことを決定したと弁明したことも注目に値します。このことは、この件における州の責任をさらに浮き彫りにしています。

はい、Accellionはデータを保有し、侵害を受けており、その責任を負っています。しかし、プライバシーの観点から言えば、データは元々ワシントン州に属していたため、そのデータに何が起こったかについての最終的な責任は州にあります。

ターゲットのデータ侵害事件に戻ると、ターゲットは最終的に裁判所によってデータ侵害の責任を問われました。世論も同様で、この侵害に関与した第三者処理業者の名前を挙げられる人はほとんどいません(実際はFazio Mechanicalでした)。この事件は「ターゲットのデータ侵害」として知られています。

プライバシーの世界では、「データの管理者」について、銀行がお金の管理者であるのと同じように考えます。データやお金を預けた組織こそが、その責任を負います。彼らの決定によって生じたあらゆる出来事は、彼らの責任であり、あなたの問題ではありません。

簡単に言えば、ワシントン州のこれまでの対応は「私たちのせいではない」というものだ。

反応の分析

セキュリティとプライバシーのインシデント対応の世界では、次の 2 つのことを測定すると言われています。

  1. 事件の重大さ
  2. 事件への対応の質

非常に深刻なインシデントに対して、優れた対応が取られることで、全体としてはそれほど悪くない結果になることもあります。逆に、軽微なインシデントに対して、ひどい対応が取られることで、事態がさら​​に悪化することもあります。

そして、この事件は、非常に深刻な事件であり、ひどい対応を伴いました。

はっきりさせておきましょう。ワシントン州の対応は、被害を受けた人々に対して基本的な信用情報や個人情報の盗難対策を実施していないため、業界の事実上の標準を下回っています。Targetは2014年に被害者に対し1年間の無料監視サービスを提供しました。これは、特にその後7年間に渡るデータ侵害の発生を踏まえると、データ侵害に対する標準的な最低限の対応となっています。

政府は、いかなる支援もせずに、救済や保護を被害者の手に委ねることで、「頑張ってください、自力で頑張ってください」と言っているのと同じだ。

さらに、州が監査官のウェブサイトに侵害に関する情報を目立つように掲載したことは評価に値するものの、このようなインシデントに対する情報提供としては、これは最低限の措置に過ぎません。ユーザーが一般的な情報を得るために3つの別々のサイトを経由しなければならないという事実は、この対応の意義を著しく損なうものです。

私自身、このようなインシデント対応のコミュニケーションを担当した経験から、このようなインシデントにおけるベストプラクティスは、シンプルなURLで簡単にアクセスできる目立つウェブページを1つ用意することです。そのページには、関連するすべての情報へのリンクと、対処方法に関する明確で目立つガイダンスを掲載します。また、関連する可能性のあるすべてのサイトから、そのページへのリンクも掲載します。

この例を続けると、州監査局と州雇用局は、その単一のページ、そして場合によってはAccellionのサイトも指摘するでしょう(影響を受けた顧客からの合理的な要求です)。被害者の中には英語が母国語ではない人々も含まれるため、成熟した対応としてはローカライズも検討すべきでしょう。

さらに、郵便による通知やラジオ、テレビ広告といったオフラインでのコミュニケーションが行われている兆候は見られません。これほど深刻な事態においては、影響を受けた人々に確実に認識してもらうために、こうしたコミュニケーション戦略を検討すべきです。今回のデータ侵害の特質を考えると、貧困層、インターネット接続環境の乏しい、情報に精通していないユーザーが最も大きなリスクにさらされていることを考えると、なおさらです。メッセージだけでなく、コミュニケーション方法も対象者に合わせて調整する必要があります。

これが、この回答における最後の批判点です。今回のデータ漏洩は、最も脆弱でリスクの高い人々に不均衡な影響を与えることになります。これは、COVID-19の流行中に失業した人々のデータです。この点を踏まえると、あらゆる組織、特に政府は、対応において期待を上回る義務を負っています。しかし、今回のケースでは、ワシントン州は業界の期待さえ満たしていません。

それを正す時間はある

今日の現実として、データ侵害は発生しています。最新技術の活用など、適切なセキュリティ対策を講じることで、データ侵害を防止または軽減できます。ワシントン州は、ベンダーの推奨に反してレガシーシステムを使用することで、このリスクを回避したようです。

データ漏洩インシデントは、データ管理者が事案の責任を明確に負い、影響を受けた人々を保護するため積極的に対策を講じ、そして影響を受けた人々に明確かつ簡潔で直接的かつ実用的な情報を提供することで、被害を軽減することができます。しかし、ワシントン州はここでもこれらのいずれの対策も講じていません。

これに、このデータがCOVID-19パンデミックの影響を最も受けやすい脆弱な人々に影響を与えるという事実を加えると、実質的に無神経な対応が生まれます。

是正する時間は十分にある。今回の情報漏洩を受けて、議員らは既に、州サイバーセキュリティ局に各機関のデータ保管方法に関する権限を強化する法案の起草を進めている。

ジェイ・インスリー知事が今介入し、州に責任を取らせ、住民に必要な明確な指示と支援を与えれば、州はこの状況を好転させることができるだろう。

もしそうならなければ、これはこの国で起きた最悪のデータ侵害と最悪の対応の一つとして歴史に残ることになるかもしれない。