La deficiente seguridad de los datos de la compañía permitió a los ciberdelincuentes robar datos confidenciales, incluidos números de cuentas bancarias y de la Seguridad Social, dijo la FTC en un comunicado de prensa el jueves.
En octubre, Blackbaud acordó pagar 49,5 millones de dólares en un acuerdo multiestatal derivado de la violación de datos, sobre la cual la compañía supuestamente no notificó a los clientes durante dos meses. La empresa evitó sanciones monetarias adicionales al llegar a un acuerdo con la FTC, pero debe cumplir con ciertos compromisos de cumplimiento como parte de una orden propuesta.
Los detalles: Blackbaud no pudo monitorear los intentos de los piratas informáticos de violar sus redes; segmentar datos para evitar que los piratas informáticos accedan fácilmente a sus redes y bases de datos; garantizar que se eliminen los datos que ya no eran necesarios; implementar adecuadamente la autenticación multifactor; y probar, revisar y evaluar sus controles de seguridad, alegó la FTC en su denuncia.
Cuando se produjo el ataque de ransomware en 2020, la infracción no se detectó durante tres meses, según la FTC. Al descubrir la infracción, la empresa pagó un rescate de 24 bitcoins, por un valor de 250.000 dólares en ese momento, para que los piratas informáticos borraran los datos robados. Sin embargo, la empresa nunca verificó si los piratas informáticos eliminaron los datos, según la denuncia.
Consideraciones de cumplimiento: Como parte de la orden propuesta, Blackbaud acordó eliminar los archivos de respaldo que contengan información cubierta que “no se conserva en relación con el suministro de productos o servicios”, según la orden.
Otros esfuerzos correctivos incluyen:
- Límites de retención de datos;
- Instituir un programa de seguridad de la información;
- Realizar una evaluación de seguridad de la información por parte de un tercero y cooperar con el evaluador;
- Certificar anualmente su programa de seguridad de datos con la asistencia del director de seguridad de la información; y
- Llevar a cabo informes, seguimiento y mantenimiento de registros de cumplimiento adecuados.
Respuesta de la empresa: “Nos complace resolver este asunto con la FTC”, afirmó Mike Gianoni, presidente y director ejecutivo de Blackbaud, en un comunicado de prensa. “Proteger la privacidad de nuestros clientes y sus electores siempre será de suma importancia para Blackbaud, y continuamos fortaleciendo nuestros programas de ciberseguridad y cumplimiento con el objetivo de mejorar nuestra resiliencia en un panorama de amenazas en constante cambio”.
La empresa aceptó el acuerdo sin admitir ni negar las conclusiones de la FTC.
