Tidligere Equifax-chef bebrejder enkeltstående medarbejder for amerikansk giga-læk

4. oktober 2017 kl. 13:114
Tidligere Equifax-chef bebrejder enkeltstående medarbejder for amerikansk giga-læk
Illustration: the_lightwriter/Bigstock.
Manglende kommunikation fra en enkelt medarbejder var ifølge CEO skyld i, at et it-system hos Equifax ikke blev patched.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den tidligere CEO for Equifax Rick Smith har foran et udvalg (House Energy and Commerce subcommittee) ved Repræsentanternes Hus i USA forklaret, at det var en fejl fra en enkelt medarbejders side, der førte til et gigantisk datalæk, hvor mere end 140 millioner amerikanere fik blotlagt diverse personoplysninger.

Det beretter The Register.

Udvedkommende fik adgang til systemerne hos Equifax, fordi en kendt sårbarhed i Apache Struts ikke blev patched, da sikkerhedshullet blev kendt tilbage i marts 2017.

»Den menneskelige fejl var, at individet, som var ansvarlig for at kommunikere ud i organisationen, at patchen skulle anvendes, ikke gjorde det,« fortalte Rick Smith til udvalget tirsdag ifølge The Registers gengivelse.

Artiklen fortsætter efter annoncen

Herefter spurgte medlem af den amerikanske kongres Greg Walden den tidligere CEO:

»Betyder det, at der var individer, som vidste softwaren var der, og at den skulle patches, og som ikke kommunikerede det til holdet, som forestår patching? Er det kernen i problemstillingen her?«

Smith svarede:

»Sådan forstår jeg det, sir.«

Andet problem

Under seancen kom det frem, at der også var et andet problem, der gjorde et muligt at trænge ind i systemerne.

Artiklen fortsætter efter annoncen

CEO'en forklarede således, at der var en fejl ved en automatiseret scanningsproces, som blev foretaget en uge efter, at patchen skulle være blevet rullet ud. Processen skulle have spottet softwaren med manglende patch, men det skete åbenbart ikke.

Det er endnu uvist, hvorfor scanningsprocessen ikke fangede problemet, bemærker The Register.

4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
4. oktober 2017 kl. 20:16

som var ansvarlig for at kommunikere ud i organisationen, at patchen skulle anvendes

Hvis jeg forstår det korrekt, så bliver disse patches installeret manuelt og ikke automatisk, for hvorfor var der ellers behov for at kommunikere ud i organisationen?

Det er hvad vi hos os kalder en ikke systemunderstøttet og svag kontrol.

2
4. oktober 2017 kl. 17:04

Mon han så vil give den samme medarbejder skylden for at oprette administrator kontoen hos Equifax i Argentina?

1
4. oktober 2017 kl. 13:22

Hvis en enkelt glemsom medarbejder kan ødelægge din sikkerhed, har du ikke en "menneskelig fejl" - du har en eklatant fejl i dine procedurer og, hvis man må være så fri, i din ledelse.

Det skvat har ikke haft orden i eget hus, og nu har han den frækhed at give en medarbejder skylden!