بعد مرور ثلاث سنوات ونصف على هجوم برنامج الفدية المدمر عام 2020 والذي أدى إلى اختراق بيانات الآلاف من عملاء المصب لشركة البرمجيات السحابية بلاك باود، انتقدت السلطات المورد الذي يقع مقره في الولايات المتحدة بسبب إخفاقات كبيرة في الأمن السيبراني، وأمرت باتخاذ خطوات علاجية.
تتخصص Blackbaud في البرامج المالية وبرامج جمع التبرعات والبرامج الإدارية التي يتم تقديمها للمؤسسات التعليمية والمنظمات غير الربحية. الهجوم على أنظمتها في عام 2020 ومن المعروف أنه أثر على بيانات العديد من جامعات المملكة المتحدة، بما في ذلك أبردين، وبرمنغهام، وبريستول، وبرونل، ودورهام، وإيست أنجليا، وإكستر، وجلاسكو، وهيريوت وات، وكينت، وليدز، وليفربول، ولندن، ولوبورو، ومانشستر، ونورثهامبتون، وأكسفورد بروكس. وريدينج وروبرت جوردون وستافوردشاير وستراثكلايد وساسكس وغرب لندن.
ومن بين الضحايا غير الربحيين منظمة Action on Addiction، وBreast Cancer Now، وThe Choir with No Name، وMaccabi GB، وNational Trust، وSue Ryder، ومؤسسة المسالك البولية، وWallich. بيانات عن المانحون لحزب العمال تم أخذه أيضًا.
وفي كل خطوة من خطوات استجابتها، ظهر منذ ذلك الحين أن Blackbaud فشلت في اتباع أفضل الممارسات المعترف بها والموصى بها للاستجابة للحوادث.
بدأ الهجوم في فبراير 2020 وتم اكتشافه في مايو، لكن بلاكبود انتظر قرابة شهرين لإبلاغ الضحايا. ثم كشفت علنًا أنها دفعت فدية قدرها 24 عملة بيتكوين مقابل وعد بأن تقوم عصابة برامج الفدية بحذف البيانات، لكنها لم تتحقق مطلقًا من القيام بذلك.
في شكوى نشرت في 1 فبراير، الولايات المتحدة لجنة التجارة الفيدرالية قالت (FTC) إن Blackbaud فشلت في تنفيذ الضمانات المناسبة لحماية وتأمين بيانات عملائها.
وقال صموئيل ليفين، مدير مكتب حماية المستهلك التابع للجنة التجارة الفيدرالية: “إن ممارسات Blackbaud الأمنية الرديئة وممارسات الاحتفاظ بالبيانات سمحت للمتسلل بالحصول على بيانات شخصية حساسة حول ملايين المستهلكين”. “تتحمل الشركات مسؤولية تأمين البيانات التي تحتفظ بها وحذف البيانات التي لم تعد بحاجة إليها.”
وقالت لجنة التجارة الفيدرالية في شكواها إن شركة Blackbaud خدعت عملائها من خلال الفشل في تنفيذ الضمانات المادية والإلكترونية والإجرائية لحماية بياناتهم على الرغم من وعدها بذلك.
ومن بين أمور أخرى، فشلت في مراقبة المحاولات المتكررة لاقتحام أنظمتها، وتقسيم البيانات لمنعهم من الوصول إليها، والتأكد من حذف البيانات غير الضرورية، وتنفيذ المصادقة متعددة العوامل (MFA)، واختبار ومراجعة وتقييم ضوابط الأمان الخاصة بها. . كما سمحت لموظفيها باستخدام كلمات مرور افتراضية أو ضعيفة أو متطابقة عبر حساباتهم.
ونتيجة لهذه المشكلات، تمكن ممثل التهديد الذي يقف وراء الاختراق من التحرك بحرية في بيئات متعددة حسب الرغبة، واستغلال نقاط الضعف الحالية وحسابات الإدارة، والوصول إلى البيانات غير المشفرة الخاصة بعملاء الشركة وإزالتها.
بالإضافة إلى ذلك، قالت لجنة التجارة الفيدرالية، إن Blackbaud كانت تحتفظ بالبيانات لفترة أطول بكثير مما كان ضروريًا للغرض الذي تم الاحتفاظ بها من أجله – وعلى هذا النحو، فإن بعض البيانات المتعلقة بالمؤسسات التي لم تعد عملاء.
أشارت لجنة التجارة الفيدرالية أيضًا إلى تأخير الإخطار لمدة شهرين، على الرغم من أن Blackbaud كانت تدرك جيدًا أن المهاجم حصل على بيانات حساسة بما في ذلك المعلومات المالية وأرقام الضمان الاجتماعي الأمريكية. وأضافت أن هذا التأخير أضر بالناس العاديين الذين لم يتمكنوا من فعل أي شيء لحماية أنفسهم من سرقة الهوية أو غيرها من الأضرار.
من الآن فصاعدا، تقترح لجنة التجارة الفيدرالية (FTC) أمرًا يطلب من Blackbaud حذف البيانات التي لم تعد بحاجة إليها لتقديم منتجات أو خدمات للعملاء، ومنعها من تحريف ممارساتها الأمنية. سيطلب أمر لجنة التجارة الفيدرالية أيضًا من الشركة تطوير برنامج “شامل” للأمن السيبراني لمعالجة المشكلات التي تم العثور عليها، وإخطار لجنة التجارة الفيدرالية إذا واجهت انتهاكًا يمكن الإخطار به في المستقبل.
سبق أن تمت معاقبة شركة Blackbaud من قبل لجنة الأوراق المالية والبورصة، وهي الهيئة التنظيمية المالية الأمريكية، بسبب ردها المضلل على الهجوم السيبراني. بالإضافة إلى ذلك، في العام الماضي، توصلت إلى اتفاق لدفع 49.5 مليون دولار، مقسمة على جميع الولايات الأمريكية الخمسين، لحل تحقيقاتها بشأن انتهاك قوانين الولاية وقانون قابلية نقل التأمين الصحي والمساءلة الفيدرالي. كما تم توبيخه من قبل مكتب مفوض المعلومات في المملكة المتحدة.
