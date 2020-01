CISO's kunnen om verschillende redenen vertrekken, maar een inbreuk of ander veiligheidsincident versnelt vaak hun vertrek.

Volgens Radware's State of Web Application Security rapport van 2018 rapporteerde 23 procent van de bedrijven dat er sprake was van het ontslaan van topmanagers naar aanleiding van applicatie-aanvallen. Amerikaanse bedrijven hebben de neiging managers eerder te ontslaan na een incident, net als bedrijven in de technologiesector of de financiële dienstverlening.

Hoewel de CISO niet altijd wordt ontslagen - Kaspersky meldt dat in 27 procent van de gevallen van een security-incident senior niet-IT-werknemers worden ontslagen bij ondernemingen met meer dan 1.000 werknemers, kunnen hun posities vaak in gevaar komen als er sprake is van duidelijke beveiligingsfouten. Een Nominet-onderzoek van Osterman Research onder meer dan 400 CISO's in de VS en het VK heeft uitgewezen dat 6,8 procent van de CISO's in de VS en 10 procent in het VK van mening is dat zij bij een inbreuk hun baan zouden verliezen. Iets minder dan 30 procent van de respondenten geloofde dat ze een officiële waarschuwing zouden krijgen.

Hier zijn 7 grote veiligheidsincidenten die de afgelopen jaren de securityleiders hun baan hebben gekost. Neem ze voor de leermogelijkheid die ze zijn.

1. Capital One

In juli 2019 kondigde Capital One aan dat een aanvaller toegang had gekregen tot de persoonlijke informatie van meer dan 100 miljoen klanten. De bank kwam maanden later op de hoogte van de aanval dankzij een tip van een veiligheidsonderzoeker. De verdachte aanvaller, een voormalige medewerker van Amazon, zou gebruik hebben gemaakt van een verkeerd geconfigureerde firewall. Het bedrijf heeft gezegd dat het verwacht dat het incident het tussen de $100 miljoen en $150 miljoen zal kosten -- voornamelijk voor het inlichten van klanten, kredietcontrole en juridische ondersteuning -- alleen al in 2019.

In November rapporteerde Wall Street Journal dat Capital One Michael Johnson, de CISO van de firma sinds 2017, door CIO Mike Eason had vervangen, terwijl het een full-time opvolger zoekt. Johnson gaat verder bij Capital One als adviseur die zich richt op het helpen bij het herstel van de bank na de data-inbreuk.

2. Equifax

In 2017 werd Equifax gecompromitteerd via een ongepatched webportaal voor consumentenklachten. Dit heeft ertoe geleid dat zo'n 143 miljoen klantdossiers - waaronder namen, adressen, geboortedata, sofi-nummers en rijbewijsnummers - zijn gestolen.

Naast een gebrek aan patches werd de aanval maandenlang onopgemerkt gehouden omdat het bedrijf geen certificaat van een interne beveiligingstool bijwerkte. Het bedrijf maakte vervolgens de inbreuk pas na meer dan een maand na de ontdekking bekend. Het Amerikaanse House of Representatives Committee on Oversight and Government Reform noemde het incident "volledig te voorkomen", terwijl het Amerikaanse Senaats Permanente Subcommittee on Investigations het bedrijf beschuldigde van "verwaarlozing van cybersecurity".

Ook de afhandeling na afloop was slecht. Het sociale-mediateam van het bedrijf stuurde de verkeerde URL uit voor de afhandeling van het incident, terwijl de toegewijde site zelf slecht beveiligd was. Daarbij kwam ook nog dat Jun Ying, CIO van Equifax US Information Solutions. gevangen werd gezet voor vier maanden en een boete kreeg van $55.000 voor insider handel op de beurs in de periode van die maand dat het bedrijf de inbreuk stil hield..

De kosten van het incident worden geschat op $1,35 miljard. Het bedrijf betaalde $575 miljoen (potentieel stijgend tot $700 miljoen) met de Federal Trade Commission en anderen. Het bedrijf gaf toen toe dat het fonds dat vanuit die schikking was opgezet, op zou raken omdat te veel mensen kozen voor geld in plaats van het alternatief, gratis kredietbewaking.

Zowel CSO Susan Mauldin als CIO David Webb verlieten het bedrijf in de weken na de breuk. Equifax CEO Richard Smith ging ook met pensioen in de nasleep van de breuk. Mauldin werd vervangen door interim CISO Russ Ayres (voorheen Equifax's vice president van IT) voordat Jamil Farshchi de rol definitief op zich nam na eerder de rol te hebben vervuld bij Home Depot, Time Warner en het Los Alamos National Laboratory.

3. Uber

Eind 2017 onthulde Uber dat de gegevens van 57 miljoen klanten en chauffeurs waren gestolen, met inbegrip van namen, e-mailadressen, telefoonnummers en rijbewijsnummers. Aanvallers hadden naar verluidt toegang tot Uber's afgesloten GitHub code repository - die zoals het bedrijf later heeft moeten toegeven geen multifactor authenticatie had - en gebruikten daar opgeslagen inloggegevens om toegang te krijgen tot de AWS S3 instanties van het bedrijf.

Hoewel dat al erg genoeg zou zijn, had deze inbreuk meer dan 12 maanden eerder plaatsgevonden en de CSO Joe Sullivan van het bedrijf was naar verluidt betrokken bij een doofpotoperatie die onder andere bestond uit het overhandigen van $100.000 aan de aanvallers - wat vermomd was als een bug bounty pay-out - in ruil voor het verwijderen van de gegevens zonder deze vrij te geven. Het nieuws werd pas openbaar gemaakt nadat de nieuwe CEO Dara Khosrowshahi aan boord was gekomen, ondanks het feit dat het bedrijf eerder in overtreding was met de FTC voor het niet vrijgeven van een datalek in 2014.

"Je vraagt misschien waarom we het hier nu over hebben, een jaar later," zei Khosrowshahi in een verklaring waarin hij de breuk aankondigde. "Ik had dezelfde vraag. Niets van dit alles had moeten gebeuren, en ik neem volledige verantwoordelijkheid."

Sullivan, die eerder vijf jaar als CSO van Facebook had gediend, werd na twee en een half jaar bij het bedrijf ontslagen. Sindsdien is hij in dienst getreden bij Cloudflare als CSO.

4. Facebook

Niet alle CSO's vertrekken vanwege specifieke incidenten. Alex Stamos, de CSO van Facebook sinds 2015, vertrok na drie jaar om een positie in te nemen bij Stanford University nadat hij het naar verluidt niet eens was met de behandeling van het Cambridge Analytica-schandaal door het bedrijf. Stamos gaf blijkbaar de voorkeur aan een meer open en directe reactie bij het onthullen van wat het bedrijf wist in plaats van een langzame en aarzelende bekentenis. Hij vertelde later aan MSNBC dat het een "grote fout" was dat het bedrijf niet meer open was over de ernst van het incident.

"Niemand loog, en niemand bedekte iets", zei hij, "maar ik heb het gevoel dat de eerste manier waarop deze dingen werden gecommuniceerd echt de lat legde of een bedrijf al dan niet werd gezien als een deel van de oplossing of een deel van het probleem. Facebook maakte geen gebruik van die gelegenheid om te zeggen: "We zijn een deel van de oplossing."

Stamos heeft inmiddels gezegd dat Facebook CEO Mark Zuckerberg te veel macht heeft bij het bedrijf en aan de zijlijn moet gaan staan. Eerder had hij ontslag genomen bij Yahoo! nadat het bedrijf een tool had gebouwd voor Amerikaanse inlichtingendiensten die de e-mailaccounts van gebruikers van Yahoo Mail konden scannen.

Het sociale-mediabedrijf kondigde aan dat het Stamos niet zou vervangen en had in plaats daarvan zijn beveiligingsingenieurs, analisten, onderzoekers en andere specialisten in zijn product- en engineeringteams ingebed om "de opkomende veiligheidsbedreigingen" waar het bedrijf mee te maken heeft, beter aan te pakken.

5. Target

De aanval in 2014 op de Amerikaanse retailer Target wordt vandaag nog steeds besproken omdat het een van de meest opvallende gevallen van een succesvolle supply chain-aanval was - hackers maakten gebruik van de slechte beveiliging van een HVAC-leverancier om de betalingssystemen van Target open te leggen en de betalingsgegevens van zo'n 40 miljoen klanten te stelen tijdens de kerstperiode in 2013.

CIO Beth Jacob verliet Target in de maanden na de aanval toen het bedrijf zijn beveiligingsstrategie herzag en kort daarna de eerste CISO, de voormalige GE CISO Brad Maiorino, aanstelde. Jacob is sindsdien werkzaam bij supply chain management provider SPS Commerce en Tivity Health.

Zoals vaak gebeurt bij high profile aanvallen, nam Target CEO Gregg Steinhafel ontslag uit al zijn functies in de maanden na de inbreuk (hoewel de mislukte uitbreiding van het bedrijf in Canada naar verluidt ook een factor was). Andere CEO's die na de cybersecurityincidenten zijn vertrokken, zijn Sony CEO Amy Pascal en de Oostenrijkse ruimtevaartfirma FACC's CEO Walter Stephan na een succesvolle BEC-zwendel.

6. JP Morgan

In 2015 hebben zowel JPMorgan Chase's CSO Jim Cummings als CISO Greg Rattray nieuwe posities binnen de bank ingenomen na de inbreuk die gegevens lekte van meer dan 83 miljoen rekeningen in de VS in 2014, waaronder namen, e-mail- en postadressen en telefoonnummers. Cummings werd naar verluidt weggepromoveerd om te werken aan militaire en veteranenhuisvestingsinitiatieven voor de bank. Rattray werd hoofd van wereldwijde cyberpartnerschappen en overheidsstrategie en werd als CISO vervangen door voormalig Lockheed Martin security executive Roham Amin.

7. San Francisco State University

In 2015 werd Mignon Hoffman, informatiebeveiligingsmedewerker aan de San Francisco State University, naar verluidt ontslagen voor wat zij beschouwde als een poging om een schending van de studentengegevens in 2014 "onder het tapijt te vegen". Ze ging naar de rechtbang wegens onrechtmatige contractbeëindiging en wraak op een klokkenluider, en eiste meer dan $1 miljoen aan verloren pensioen, gederfde inkomsten (verleden en toekomst) en emotioneel leed.

In 2014 werd Hoffman door een externe partij op de hoogte gebracht van een kwetsbaarheid in een Oracle-applicatieserver van de universiteit. De informatie die als gecompromitteerd in rechtbankdocumenten wordt vermeld, bevat "gegevens over huidige en vroegere studenten, financiële hulp, financiële transacties, rekeningvorderingen en interfaces met woningen, evenals campusbreed accountbeheer en wachtwoord-reset-functie".

Zij beweerde dat eerder geadviseerde verbeteringen van de Oracle-databasebeveiliging door haar superieuren werden verworpen wegens budgettaire beperkingen en de aanvaarding van het veiligheidsrisico van IT, en in het kielzog van het incident wilde de tussentijdse CIO geen veiligheidsinbreuk tijdens zijn leiderschap op zijn conto willen hebben en wilde "vermijden om ondersteunende informatie te melden die tot een inbreuk-onthulling zou kunnen leiden".

De universiteit bevestigt dat er een veiligheidsincident is geweest waarbij informatie die publiekelijk beschikbaar was, mogelijk toegankelijk was. Omdat de universiteit beweert dat er geen sprake was van een inbreuk op de persoonsgegevens, werden de studenten niet op de hoogte gesteld omdat de universiteit vond dat de studenten geen reden hadden om zich zorgen te maken over hun persoonsgegevens. De universiteit ontkende dat haar contractbeëindiging verband hield met het veiligheidsincident. De zaak werd later buitengerechtelijk afgehandeld.