Kradzież danych i co dalej?

Każdego dnia na całym świecie dochodzi do incydentów hakerskich, ostatnie głośne to atak na amerykańską agencję odpowiedzialną za cyberbezpieczeństwo, polskie Ministerstwo Cyfryzacji oraz Szwajcarską Radę Związkową. Czy musiało do nich dojść? 

Ataki hakerskie na stałe wpisały się wirtualną rzeczywistość, dlatego tak ważne są odpowiednie zabezpieczenia i właściwe przygotowanie na incydenty, które mogą być różne, ale mają swój wspólny mianownik - ujawnienie informacji poufnych. 

Zacznijmy od ataku na amerykańską agencję odpowiedzialną za cyberbezpieczeństwo, czyli na Cybersecurity and Infrastructure Security Agency (Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa). W CISA temat dotyczy włamania na urządzenie firmy Ivanti, w których w ostatnim czasie wykryto podatności typu 0-day (podatności, które umożliwiają włamanie na urządzenie przed wydaniem aktualizacji przez producenta). 

- Atak polegał na włamaniu do systemów Ivanti zarządzających bezpieczeństwem dostępu do danych, dzięki czemu hakerzy mieli dostęp do poufnych informacji. Narzędzie do weryfikacji czy urządzenia są podatne na włamanie, miało błędy. Pamiętajmy, że atakujący może dalej mieć dostęp do urządzenia pomimo resetu do ustawień fabrycznych. Luka w tych samych urządzeniach została wykorzystana w kwietniu 2023 w ataku na rząd norweski - wyjaśnia Tomasz Gaszyński, ekspert z zakresu cyberbezpieczeństwa z firmy Direct IT. - Każda organizacja jest podatna na tego typu ataki, nie uniknie ich, dlatego tak ważny jest plan działania na wypadek ich zaistnienia. Gdy dojdzie już do włamania, musimy mieć możliwość szybkiej identyfikacji problemu oraz wdrożenia planu awaryjnego, aby firma mogła działać dalej. Bardzo ważnym elementem cyberbezpieczeństwa jest przypomnienie, że każda organizacja może zostać dotknięta luką w cyberbezpieczeństwie, a posiadanie planu reagowania na incydenty jest niezbędnym elementem odporności.

Kolejny wyciek danych dotyczy Ministerstwa Cyfryzacji i nastąpił 17 stycznia 2024 roku. Tutaj mamy nie błąd systemowy, a czynnik ludzki - pracownik w ministerstwie pomylił się i udostępnił dane do osób wewnątrz organizacji, które nie powinny były mieć dostępu do tych danych.

- Błąd ludzki to bardzo częsty powód wycieku danych, dlatego tak ważne są szkolenia pracowników, aby wiedzieli, jak postępować, aby błędów unikać. Dodatkowo powinny być zabezpieczenia systemowe. W Ministerstwie Cyfryzacji wyciekły dane z tabel zawierających informacje o wynagrodzeniach byłych i obecnych pracowników ministerstwa. Pracownik Biura Budżetowo-Finansowego Ministerstwa Cyfryzacji udostępnił dane pracownikowi Centralnego Ośrodka Informatyki, ponieważ ten nazywał się tak samo, jak właściwa osoba, która miała otrzymać informacje, tylko była z innego działu. Mamy tutaj klasyczny błąd ludzki i mamy tutaj utratę poufności danych. Na szczęście nie było tutaj realnego zagrożenia wycieku danych na zewnątrz, niemniej jednak sytuacja jest dobrym przykładem na to, że pomimo najlepszych zabezpieczeń systemowych czynnik ludzki może doprowadzić do zaistnienia incydentu - wyjaśnia Tomasz Gaszyński i dodaje, że dlatego tak ważne jest szkolenie pracowników z zasad cyberbezpieczeństwa. Po tym incydencie pracownicy ministerstwa zostali zobowiązani do szczegółowej weryfikacji danych adresatów oraz przypomniane zostały im także zasady ochrony danych. Ekspert podkreśla, że warto także wprowadzić zabezpieczenia w postaci dostępu do danych dokumentów i w przypadku analogicznej sytuacji po prostu pracownik bez kodu dostępu nie będzie mógł otworzyć dokumentu, jeśli ten nie był przeznaczony dla niego.

- W przypadku Xplain sytuacja wygląda dużo ciekawiej, ponieważ dostawca usług IT dla rządu Szwajcarii został zaszyfrowany (i jednocześnie dane zostały wykradzione) przez co wyciekły dane należące do instytucji publicznych - komentuje Tomasz Gaszyński. - Grupa, najprawdopodobniej, rosyjskich hackerów Play zaatakowała 14.06.2023 Xplain (Ransomware) i wykradła dane, a następnie złożyła ofertę ich odsprzedaży. Z powodu braku współpracy, czyli chęci ich odkupienia od hakerów, dane te zostały ujawnione w darknecie. Pakiet danych zawierał aż 1,3 miliona plików, z czego 65 tysięcy dokumentów zawierało dane istotne dla rządu Szwajcarii. 70% należało do Xplain, a 14% do administracji federalnej. Co istotne, w części danych były czytelne hasła! Co jest absolutnie niedopuszczalne i pokazuje, jak ważne jest, aby hasła przechowywać w dedykowanych systemach do zabezpieczania haseł. Chodzi o bezpieczne udostępnianie haseł. Do chwili obecnej nie ma informacji, w jaki sposób doszło do tego ataku i włamania do systemu. 

Jak podkreśla ekspert z Direct IT dlatego wdrożenie przepisów NIS2 i DORA daje lepszą kontrolę nad dokumentami oraz wymusza lepsze zabezpieczenia w firmach. Są to rozporządzenia, które mają za zadanie zwiększyć bezpieczeństwo podmiotów, są kluczowe dla działania organizacji w cyberprzestrzeni.

***

Direct IT to firma wyspecjalizowana w wielu obszarach IT, audytów, systemów kopii zapasowych, szkoleń, zapewnia ciągłość działania przedsiębiorstw w zakresie IT oraz skupia się na cyberbezpieczeństwie. Sukces Direct IT to innowacyjne podejście do kompleksowej opieki IT dla firm. Działa z wyprzedzeniem, proaktywnie, minimalizując ryzyko wystąpienia przestoju w działaniu klientów.