Tres años y medio después de un devastador ataque de ransomware en 2020 que provocó violaciones de datos en miles de clientes intermedios de la empresa de software en la nube Blackbaud, el proveedor con sede en EE. UU. ha sido criticado por las autoridades por importantes fallas de seguridad cibernética y se le ha ordenado que tome medidas correctivas. . Blackbaud se especializa en software financiero, de recaudación de fondos y de administración dirigido a instituciones educativas y organizaciones sin fines de lucro. Se sabe que el ataque a sus sistemas en 2020 afectó los datos de varias universidades del Reino Unido, incluidas Aberdeen, Birmingham, Bristol, Brunel, Durham, East Anglia, Exeter, Glasgow, Heriot-Watt, Kent, Leeds, Liverpool, Londres, Loughborough. , Manchester, Northampton, Oxford Brookes, Reading, Robert Gordon, Staffordshire, Strathclyde, Sussex y el oeste de Londres. Las víctimas de organizaciones sin fines de lucro incluyen Action on Addiction, Breast Cancer Now, Choir with No Name, Maccabi GB, National Trust, Sue Ryder, Urology Foundation y Wallich. También se tomaron datos sobre los donantes del Partido Laborista. Desde entonces, se ha revelado que en cada paso de su respuesta, Blackbaud no siguió las mejores prácticas de respuesta a incidentes reconocidas y recomendadas. El ataque comenzó en febrero de 2020 y fue descubierto en mayo, pero Blackbaud esperó casi dos meses para informar a las víctimas. Luego reveló abiertamente que había pagado un rescate de 24 bitcoins a cambio de la promesa de que el grupo de ransomware eliminaría los datos, pero nunca verificó que esto se hubiera hecho. En una denuncia publicada el 1 de febrero, la Comisión Federal de Comercio de EE. UU. (FTC) afirmó que Blackbaud no implementó las salvaguardias adecuadas para proteger y asegurar los datos de sus clientes. «Las malas prácticas de seguridad y retención de datos de Blackbaud permitieron a un pirata informático obtener datos personales confidenciales sobre millones de consumidores», dijo Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC. «Las empresas tienen la responsabilidad de proteger los datos que mantienen y eliminar los datos que ya no necesitan». En su denuncia, la FTC dijo que Blackbaud engañó a sus clientes al no implementar salvaguardias físicas, electrónicas y procesales para proteger sus datos a pesar de haber prometido hacerlo. Entre otras cosas, no supervisó los repetidos intentos de ingresar a sus sistemas, no segmentó los datos para evitar que accedieran a ellos, no se aseguró de que se eliminaran los datos innecesarios, no implementó la autenticación multifactor (MFA) ni probó, revisó y evaluó sus controles de seguridad. . También permitió a sus propios empleados utilizar contraseñas predeterminadas, débiles o idénticas en sus cuentas. Como resultado de estos problemas, el actor de amenazas detrás de la intrusión pudo moverse libremente por múltiples entornos a voluntad, explotando vulnerabilidades y cuentas de administrador existentes, y accediendo y eliminando datos no cifrados de los clientes de la empresa. Además, dijo la FTC, Blackbaud estaba reteniendo datos durante mucho más tiempo del necesario para el propósito para el cual se mantenían; como tal, algunos de los datos estaban relacionados con organizaciones que ya no eran clientes. La FTC también citó el retraso de dos meses en la notificación, a pesar de que Blackbaud sabía muy bien que su atacante había obtenido datos confidenciales, incluida información financiera y números de Seguro Social de EE. UU. Esta demora, dijo, perjudicó a la gente común y corriente que no pudo hacer nada para protegerse contra el robo de identidad u otros daños. De cara al futuro, la FTC propone una orden que exige a Blackbaud eliminar los datos que ya no necesita para proporcionar productos o servicios a los clientes, y le prohíbe tergiversar sus prácticas de seguridad. La orden de la FTC también exigirá que la empresa desarrolle un programa de seguridad cibernética «integral» para abordar los problemas encontrados y que notifique a la FTC si experimenta una infracción notificable en el futuro. Blackbaud ya había sido penalizado anteriormente por la Comisión de Bolsa y Valores, el regulador financiero de Estados Unidos, por su respuesta engañosa al ciberataque. Además, el año pasado, llegó a un acuerdo para pagar 49,5 millones de dólares, divididos entre los 50 estados de EE. UU., para resolver sus investigaciones de violación de las leyes estatales y la Ley federal de Responsabilidad y Portabilidad del Seguro Médico. También fue reprendido por la Oficina del Comisionado de Información del Reino Unido.

Source link