Lidská chyba může vaší společnosti přinést nevyčíslitelnou zkázu

Ve světě se aktuálně řeší únik dat společnosti Eskom Group, která podlehla dvěma bezpečnostním útokům.

Eskom.jpg

Eskom je energetická společnost, která dodává 95 % elektřiny využívané v jižní Africe a 45 % elektřiny do zbytku Afriky. Unikly tedy citlivé informace neskutečného množství lidí.

Co se vlastně stalo?

První únik informací ze společnosti byl způsoben klasickou systémovou chybou, kdy databáze uživatelů byla umístěna na servery, které byly volně přístupné z internetu. Danou databázi proto nebylo složitě ukrást a následně zneužít. Stačilo jen získat patřičné přístupové údaje (tedy jméno a heslo).

Na daném případu je velmi alarmující, že i přes několikeré upozornění na tuto slabinu ze strany různých odborníků společnost dlouhou dobu nijak nereagovala a nesnažila se o nápravu. Vypnutí této databáze nastalo dokonce až poté, kdy byl únik dat zveřejněn na sociální síti Twitter.

Z pohledu informační bezpečnosti je pak druhý únik informací o dost zajímavější. Došlo při něm totiž k řetězení různých porušení bezpečnostních pravidel.

Na jeden z počítačů byl nainstalován škodlivý program, který umožnil získat přihlašovací údaje daného uživatele, a dále i ostatních v rámci dané společnosti.

O porušení bezpečnosti společnost prvně informovali specialisté skupiny „MalwareMustDie“, která se zabývá vyhledáváním a upozorňováním napadených společností. Nicméně Eskom Group na zaslané e-maily opět nereagovala.  A v momentě, kdy byly některé uniklé informace ze společnosti včetně jednoho přihlašovací jména uživatele (mg@eskom.co.za) zveřejněny na sociálních sítích, Eskom uvedl, že daný uživatel ve společnosti není registrován a prakticky neexistuje. Poté, co byl zveřejněn název počítače (DESKTOP-6T3OPUK) včetně cesty k nakaženému programu a screenshotu ilustrujícím, že se do daného počítače instaloval daný virus a další citlivé informace, společnost začala konečně jednat. Při dalším získávání informací bylo zjištěno, že daná mailová adresa patří buď nějakému technickému poradci, nebo seniornímu pracovníkovi v rámci interní správy infrastruktury.

Jak se škodlivý program do vnitřní sítě společnosti dostal?

Zaměstnanec si na svůj počítač nainstaloval hru The SIMS 4. Daná hra ale není zdarma a je nutné ji před spuštěním zaplatit a aktivovat. Když pomineme záměr zaměstnance užít si v práci trochu zábavy, napáchal neskutečnou škodu tím, že hledal způsoby, jak hru aktivovat bez placení. V online prostoru najdeme plno programů, které hru dodatečně aktivují, popřípadě na webu jsou k dispozici instalátory, které proces aktivace obejdou a hra je rázem funkční. Ani aktivace hry ale nakonec nebyla zdarma – tito pomocníci si s sebou po instalaci do PC totiž vzali pár nezvaných a zákeřných kamarádů. V tomto případě šlo o malware, který zjišťoval přihlašovací údaje všech uživatelů v rámci společnosti a tyto odesílal tvůrci daného škodlivého programu. Pro něj a další hackery, kteří si tyto informace odkoupili (s těmito informacemi se totiž obchoduje celkem úspěšně), už pak nebylo nijak složité do interních systémů společnosti vniknout a získat další potřebné informace, které se dají dále zneužít.

K jakým porušením bezpečnosti došlo?

  1. Uživatel má u svého počítače povolená administrátorská práva (tedy může si nastavovat a instalovat, co se mu zlíbí).
  2. Uživatel si na svůj pracovní stolní počítač (název počítače začíná DESKTOP) instaloval hru.
  3. Uživatel se pokusil obcházet licenční politiku výrobce SW (tedy nechtěl za použití hry zaplatit licenční poplatky).
  4. Na PC byla špatně nastavená a nejspíš i špatně aktualizovaná antivirová ochrana. Antivirový systém by měl obvykle na nákazu ihned reagovat a škodlivé soubory by se do PC neměly vůbec nainstalovat.
  5. Společnost měla nedostatečně nastavené bezpečnostní technologie, a proto včas nezjistila nechtěnou komunikaci nakaženého počítače s jiným PC mimo společnost.
  6. Po získání informace o napadení od externích subjektů společnost nejen, že nereagovala, ale popírala možnost jakéhokoliv napadení.
  7. Reakční doba, a tedy i doba, po kterou se mohli útočníci pohybovat v počítačové síti dané společnosti, byla velmi dlouhá.

Příklad napadení společnosti Eskom je poměrně dobře zdokumentován, bude proto pravděpodobně ještě dlouhou dobu rozebírán a ilustrován jako alarmující příklad pro všechny společnosti, které nemají dostatečně zabezpečenou informační strukturu a dostatečně proškolené zaměstnance. Očekávám, že neadekvátní a především nevčasná reakce společnosti Eskom Group nejspíš způsobí negativní odezvu ze strany jejích zákazníků a obchodních partnerů, a bude mít dopad také na její ziskovost.

Tento případ ale určitě nebude jediný – dané chování společnosti je běžné i pro jiné subjekty. Tyto úniky s možnými likvidačními důsledky jsou přitom ve velké většině způsobeny řetězením drobných porušení, jak v rámci nastavení komplexní bezpečnosti informací uvnitř společnosti, tak i lidským selháním a nedodržováním nastavených bezpečnostních politik a standardů. Záleží proto jen na nás všech, zda dodržíme základní bezpečnostní hygienu, nebo necháme svůj byznys pošpinit, v horším případě zkrachovat.

Autorem vyjádření je Zbyněk Malý – konzultant pro oblast bezpečnosti společnosti Anect