Een paar jaar geleden schoten security bedrijven als paddenstoelen uit de grond. Het aanbod was enorm breed, want alles leek wel security te zijn. Een van die nieuwkomers deed iets met videobewaking. Dat bedrijf schermde met grote namen van financiers, want zoiets zou indruk maken op mogelijke klanten.
Het bedrijf gebruikte bij het communicatie offensief de claim dat het bedrijf aan Amerikaanse en Europese regelgeving voldeed. Om precies te zijn HIPAA en Privacy-Shield compliant. Die claims vielen onder andere het Amerikaanse Ministerie van Justitie op. Voorafgaand aan dat offensief gebeurde er iets waardoor het bedrijf met enige vertraging inderdaad opviel. Het bedrijf werd via de supportomgeving gehackt. De zogenaamd veilige cloudopslag met klantdata wat opeens niet meer zo veilig.
“kleine schade”
Het bedrijf reageerde op de hack op een manier die iets te vaak voorkomt. De impact zou gering zijn (“slechts 97 klanten getroffen”). De hack en de zogenaamd kleine schade zijn gemeld aan de Amerikaanse toezichthouder en dat heeft een paar dagen terug geleid tot een persbericht dat zo maar het einde van het bedrijf kan betekenen.
FTC heeft vastgesteld dat de schade van die “97 klanten” in werkelijkheid 150.000 feeds betreft. De hack is gestart bij een legacy server en het is de AWS dat als eerste aan de bel trok. Toen was het netwerk van het betreffende videobewakingsbedrijf al twee weken onderdeel van het MIRAI botnet (dat een voorkeur heeft voor dit soort omgevingen).
Iedereen die bovenstaande leest en ook maar iets weet van security zal alleen al daarom pas op de plaats maken. Het wordt echter nog erger. De claims over HIPAA en Privacy Shield bleken volkomen onjuist te zijn, elke claim over de kwaliteit van de eigen beveiliging was dat ook. Als klap op de vuurpijl bleek het bedrijf ook de Amerikaanse spamwetgeving bewust te overtreden.
Op het eerste gezicht lijkt dit bedrijf er met een paar kleerscheuren van af te komen. FTC stelt de rechter voor een boete van minder dan $3 miljoen op te leggen. Het venijn zit elders verstopt. Er wordt een verzwaarde meldplicht voor 20 jaar (!) geëist en regelmatige controles door externe partijen op de activiteiten. Vanwege de reputatie als spammer komt de communicatie ook onder een vergrootglas te liggen.
Digitale sporen
Iedereen die ooit in de toekomst op zoek is naar een leverancier van videobewakingssystemen zal bij een iets meer dan oppervlakkige online search de naam van het bedrijf, de misstanden en de sancties terugvinden. Alle stukken van de Amerikaanse toezichthouder en Justitie staan namelijk online en daar worden man en paard genoemd.
Het is daarom moeilijk voorstelbaar dat dit bedrijf kan blijven bestaan. Zelfs bij een naamswijziging of overname blijven er digitale sporen die niet gewist zullen worden.
Is het erg?
De vraag of het erg is als dat dit bedrijf voor videobewaking zou ophouden te bestaan mag iedereen voor zich beantwoorden. Weet echter wel dat dit een bedrijf is waarvan de toezichthouder nu expliciet eist “multi-factor authentication methods for all employees, contractors, and affiliates”. Waarom dat er zo staat laat zich raden.