Έπειτα από δύο ολόκληρα χρόνια ερευνών σχετικά με μία παραβίαση ασφάλειας του 2014, που εξέθεσε προσωπικά στοιχεία 40 εκατομμυρίων πελατών, η The Home Depot Inc φαίνεται να ξεμπερδεύει επιτέλους με την υπόθεση. Η εταιρεία με έδρα την Ατλάντα, έχει καταλήξει σε έναν διακανονισμό, σύμφωνα με τον οποίο θα αποζημιώσει 46 κράτη με συνολικά 17,5 εκατομμύρια δολάρια.
Το περιστατικό συνέβη το 2014, όταν hackers απέκτησαν πρόσβαση στο δίκτυο της εταιρείας, αναπτύσσοντας κακόβουλο λογισμικό σε ένα σύστημα αυτόματης αγοράς, επιτρέποντας την πρόσβαση στις πληροφορίες των καρτών πληρωμής για πελάτες που χρησιμοποιούσαν τα συστήματα αυτοελέγχου μεταξύ 10 Απριλίου και 13 Σεπτεμβρίου 2014. Η εταιρεία συμφώνησε να εφαρμόσει μια σειρά πρακτικών και βελτιώσεων που έχουν σχεδιαστεί για να ενισχύσουν την ασφάλεια των πληροφοριών, η οποία σύμφωνα με τους όρους της συμφωνίας, πρέπει να εφαρμοστεί εντός 180 ημερών μετά τις 21η Δεκεμβρίου 2020.
«Η The Home Depot απέτυχε να προστατεύσει τους καταναλωτές και έθεσε τα δεδομένα τους σε κίνδυνο», δήλωσε η Γενική Εισαγγελέας της Νέας Υόρκης Letitia James, της οποίας το κράτος θα λάβει περίπου 600.000 $. Η εταιρεία συμφώνησε να υποβληθεί σε αξιολόγηση της ασφάλειας των πληροφοριών μετά τον διακανονισμό.
Ανάμεσα στις κινήσεις που πρέπει να κάνει η Home Depot, ως αποτέλεσμα της διευθέτησης, είναι η προσθήκη ενός επικεφαλής αξιωματικού ασφαλείας πληροφοριών, που θα υποβάλει έκθεση τόσο σε ανώτερα στελέχη όσο και σε στελέχη C-level και στο διοικητικό συμβούλιο. Οι αξιωματούχοι συμφώνησαν επίσης να παρέχουν κατάλληλη ενημέρωση για την ασφάλεια και εκπαίδευση απορρήτου σε κάθε εργαζόμενο που έχει πρόσβαση στο δίκτυο της εταιρείας ή είναι υπεύθυνος για τα προσωπικά στοιχεία των καταναλωτών. Άλλες βασικές προσπάθειες περιλαμβάνουν τη συντήρηση του λογισμικού, διασφαλίζοντας ότι τα συστήματα ενημερώνονται πλήρως με τα πιο πρόσφατα μέτρα ασφαλείας και τη χρήση κατάλληλων μεθόδων κρυπτογράφησης.
Για να αποτρέψουν μελλοντικές παραβιάσεις, οι μηχανικοί είναι επιφορτισμένοι με την τμηματοποίηση του περιβάλλοντος δεδομένων των κατόχων καρτών και τη χαρτογράφηση των συνδέσεων με το δίκτυο της εταιρείας, προκειμένου να προσδιορίσουν τους τρόπους κυκλοφορίας των δεδομένων. Εκτός από τον έλεγχο ταυτότητας δύο παραγόντων για λογαριασμούς διαχειριστή συστήματος και απομακρυσμένη πρόσβαση και “ισχυρούς και περίπλοκους κωδικούς πρόσβασης”, η εταιρεία πρέπει να λάβει μέτρα για να διασφαλίσει την εναλλαγή κωδικών πρόσβασης, τα τείχη προστασίας, την παρακολούθηση ακεραιότητας αρχείων και την ασφάλεια καρτών πληρωμής, καθώς και τη διατήρηση του διαχωρισμού των περιβάλλοντων ανάπτυξης και παραγωγής.
Πρέπει επίσης να δημιουργηθούν αρχεία καταγραφής για την παρακολούθηση της δραστηριότητας του δικτύου, για οποιαδήποτε συσκευή προσπαθεί να συνδεθεί με δεδομένα κατόχου κάρτας. Σύμφωνα με το διακανονισμό, μετά τη δημοσίευση των βελτιώσεων, η εταιρεία θα πρέπει να υποβάλεται σε ετήσιες αξιολογήσεις κινδύνου, συμπεριλαμβανομένης της τεκμηρίωσης των διασφαλίσεων που εφαρμόστηκαν.
