Tidligere Equifax-chef bebrejder enkeltstående medarbejder for amerikansk giga-læk

Illustration: Virrage Images/Bigstock
Manglende kommunikation fra en enkelt medarbejder var ifølge CEO skyld i, at et it-system hos Equifax ikke blev patched.

Den tidligere CEO for Equifax Rick Smith har foran et udvalg (House Energy and Commerce subcommittee) ved Repræsentanternes Hus i USA forklaret, at det var en fejl fra en enkelt medarbejders side, der førte til et gigantisk datalæk, hvor mere end 140 millioner amerikanere fik blotlagt diverse personoplysninger.

Det beretter The Register.

Udvedkommende fik adgang til systemerne hos Equifax, fordi en kendt sårbarhed i Apache Struts ikke blev patched, da sikkerhedshullet blev kendt tilbage i marts 2017.

»Den menneskelige fejl var, at individet, som var ansvarlig for at kommunikere ud i organisationen, at patchen skulle anvendes, ikke gjorde det,« fortalte Rick Smith til udvalget tirsdag ifølge The Registers gengivelse.

Herefter spurgte medlem af den amerikanske kongres Greg Walden den tidligere CEO:

»Betyder det, at der var individer, som vidste softwaren var der, og at den skulle patches, og som ikke kommunikerede det til holdet, som forestår patching? Er det kernen i problemstillingen her?«

Smith svarede:

»Sådan forstår jeg det, sir.«

Andet problem

Under seancen kom det frem, at der også var et andet problem, der gjorde et muligt at trænge ind i systemerne.

CEO'en forklarede således, at der var en fejl ved en automatiseret scanningsproces, som blev foretaget en uge efter, at patchen skulle være blevet rullet ud. Processen skulle have spottet softwaren med manglende patch, men det skete åbenbart ikke.

Det er endnu uvist, hvorfor scanningsprocessen ikke fangede problemet, bemærker The Register.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Rune Gent

Hvis en enkelt glemsom medarbejder kan ødelægge din sikkerhed, har du ikke en "menneskelig fejl" - du har en eklatant fejl i dine procedurer og, hvis man må være så fri, i din ledelse.

Det skvat har ikke haft orden i eget hus, og nu har han den frækhed at give en medarbejder skylden!

  • 18
  • 0
Claus Bobjerg Juul

som var ansvarlig for at kommunikere ud i organisationen, at patchen skulle anvendes

Hvis jeg forstår det korrekt, så bliver disse patches installeret manuelt og ikke automatisk, for hvorfor var der ellers behov for at kommunikere ud i organisationen?

Det er hvad vi hos os kalder en ikke systemunderstøttet og svag kontrol.

  • 1
  • 0
Log ind eller Opret konto for at kommentere