Ameninţări din interior: neînţelegeri și provocări. Întotdeauna subestimate, ne-raportate și ignorate.

Ameninţări din interior: neînţelegeri și provocări. Întotdeauna subestimate, ne-raportate și ignorate.

291

autor: Vassilis Manoussos

Breșele de date subiect de știri

Breșele de date, atacurile cibernetice, interferenţele cibernetice sponsorizate de state și ameninţarea unui război cibernetic sunt acum o temă constantă în media mainstream. Lumea aude și citește din ce în ce mai mult despre acestea, dar cu ce învăţături se alege?

Vassilis Manoussos

Cazurile care ajung la știri sunt întotdeauna despre breșe mari, de dimensiunea celor de la Talk-Talk, Sony și Yahoo! Cifrele mari sunt cele care atrag atenţia și despre care te aștepţi ca media să scrie. Acestea sunt cazuri prea mari ca să poată fi ascunse, prea mari ca să poată fi administrate și rezolvate imediat. Sunt acele cazuri care ne șochează prin simpla lor dimensiune și prin cifre. Yahoo! a avut 1 miliard de conturi de email compromise. Talk-Talk a pierdut datele private și bancare a 157.000 de clienţi. BUPA (care face parte din industria de sănătate, cea mai mare sursă de breșe de date din lume) a pierdut 500.000 de înregistrări. NHS, universităţile, Tesco Bank, Three Mobile sunt doar alte exemple de același gen.
Problema, totuși, este că acestea sunt business-uri uriașe care operează în domenii extrem de reglementate (telecom, bancar și sănătate) în care legile de protecţie a datelor și alte prevederi regulatorii obligă la declararea breșelor și notificarea celor afectaţi. Aceste cifre nu iau totuși în considerare cazurile mai mici de breșe de date, scurgeri și hack-uri. Adevărul este că marile companii vor fi întotdeauna ţintele predilecte ale atacurilor. Companiile mici nu sunt neapărat o ţintă, dar acestea au tendinţa de a-și pierde propriile date, deoarece nu au implementate proceduri de securitate elementare și nici nu fac nici un fel de training cu angajaţii lor. IMM-urile și microîntreprinderile nu știu adesea unde le sunt stocate datele și cel mai adesea nu devin conștiente de existenţa unei breșe sau scurgeri de date, până în momentul în care sunt afectate direct (de ex. când cineva folosește informaţii din interior pentru a extrage bani din firmă, de obicei prin phishing sau alte forme de inginerie socială).
Destul de des, IMM-urile își pierd datele prin intermediul unui terţ: un furnizor, un client sau chiar o agenţie guvernamentală. Breșele de date se pot întinde de la foarte simple până la cele mai grave. În cea mai simplă formă, o breșă poate fi sustragerea adreselor de email din agenda de adrese. Eu am mai multe conturi de business pe care le utilizez în scopuri diferite. Pe un cont pe care îl utilizam pentru a comunica cu clienţi și potenţiali clienţi am început să primesc un volum tot mai mare de spam. Știam că nu am folosit acea adresă de email ca să mă înregistrez pe nici un site și că firewall-urile și soft-urile mele de securitate sunt la zi și la locul lor. De fapt, peste alte 30 de conturi de email pe care le deschisesem pe domeniul meu nu primeau spam deloc. Adresa de email care era inundată cu spam a fost găsită pe calculatoarele unor persoane care nu aveau soluţii de securitate instalate, sau aveau soluţii slabe. Urmarea a constituit-o faptul că adresa mea de email a ajuns în numeroase liste de spam, distribuite în întreaga lume. La un moment dat, până și filtrele mele de spam nu au mai făcut faţă, astfel încât a trebui să închid acel cont și să deschid altul. Acesta este un mod indirect de scurgere de date la care persoanele și companiile sunt expuse mult prea adesea. Evident, acest caz s-a aflat la nivelul cel mai de jos al spectrului și a devenit mai degrabă un deranj decât un risc pentru mine. Dar în același fel, un dispozitiv contaminat al unui furnizor sau consultant pot duce la scurgeri de informaţii sensibile, care pot conduce la pierderi financiare directe.

Ce relevă cifrele

Statisticile despre breșele de date pot diferi de la sursă la sursă, dar tendinţa pare să fie consistentă. Domeniile sănătăţii și guvernamental sunt cele două surse majore de breșe și scurgeri.
Conform lui Gemalto și indexului lor BreachLevelIndex1, în 2016 au fost compromise un număr record de înregistrări de 1.378.509.261 articole2 în 1.792 de scurgeri de date. Un semn bun îl constituie faptul că 4,2% din datele scurse erau criptate, fiind practic lipsite de valoare pentru cei care au ajuns în posesia lor. Vestea proastă este că doar 4,2% din datele care s-au scurs erau criptate. O altă statistică deranjantă este că în cazul a 52,2% dintre breșe numărul articolelor/înregistrărilor compromise este clasificat ca „necunoscut”.
Când vine vorba despre organizaţii mari, riscul vine adesea din exteriorul perimetrului de securitate. După cum se poate vedea în Fig. 1, ceva mai mult de două treimi dintre breșe sunt orchestrate din exterior3. Totuși un procent semnificativ de 28% se datorează celor din interior și pierderilor accidentale. Ambele situaţii reprezintă o ameninţare combinată din interior pentru orice business.
Majoritatea breșelor de date se materializează în furt de identitate, cel mai mare risc pentru organizaţii și pentru clienţii lor. Nu constituie o surpriză faptul că înregistrările organizaţiilor și companiilor din domeniul sănătăţii constituie ţinta predilectă a infractorilor cibernetici.

Amenințările din interior

Deoarece 28% dintre breșe și scurgeri provin din interiorul companiilor afectate, are sens ca organizaţiile și CISO din acestea să își clădească apărarea pornind de la reducerea acestui segment de ameninţări.
Conform Info Security Magazine, se estimează că 63% dintre companii au fost afectate de o surgere de date de „școală veche”: imprimanta. Se estimează că undeva între 10-18% din scurgerile din interior se datorează unor documente printate care părăsesc compania datorită unui angajat sau furnizor. Riscul se extinde și asupra documentelor care au fost furnizate organizaţiilor statutare (de ex. autorităţi fiscale, administraţie locală, autorităţi de mediu) care nu au distrus în mod corespunzător documentele pe care le- au primit. Acest procent este mare, în sine, dacă luăm în considerare că are loc în mediul corporatist în care imprimantele de reţea necesită log-area utilizatorilor pentru a printa, activitatea fiind astfel trasabilă.
Într-o companie mai mică, în care o imprimantă partajată nu necesită credenţiale de logare pentru tipărirea unui document, singura modalitate de investigare a unei breșe cauzate de documente tipărite o reprezintă o investigaţie digital forensics sistematică (adesea disruptivă și scumpă). Din această cauză companiile mici sunt în prima linie a scurgerilor datorate printării.

Contează mărimea?

Chiar dacă răspunsul la această întrebare este cel mai adesea da, atunci când vine vorba despre securitatea datelor, răspunsul este cu timiditate NU! Nu contează cât de mică sau cât de mare este o organizaţie: activele digitale sunt valoroase pentru toţi stakeholder-ii ei.
Majoritatea afacerilor mici și de familie nu utilizează în mod sistematic soluţii de securitate care să le protejeze activele digitale. Ei cred că lor nu li se va întâmpla o scurgere de date, deoarece nu constituie o ţintă importantă din punct de vedere financiar sau industrial. Realitatea este însă că micile companii, pe zi ce trece, suferă tot mai adesea de pe urma diferitelor tipuri de infracţionalitate cibernetică, provocate de scurgeri de date sau de către angajaţi neloiali. Era în iunie 2013 când scurgerea de documente NSA, datorită lui Edward Snowden, domina știrile. Snowden a ocolit protocoalele de securitate învechite și s-a folosit de credenţialele privilegiate de acces pentru a copia documente SUA clasificate pe un un dispozitiv flash. Lucrând din Honolulu, la o diferenţă de fus orar de câteva ore faţă de ferma de servere NSA de la a Fort Meade, el a deschis o breșă în securitatea SUA urmând câţiva pași simpli. Întrebarea pentru companiile mici devine simplă: dacă NSA a putut fi hack-uită de un angajat …ce credeţi că vi se poate întâmpla vouă?

Adevărata amenințare…

Experienţa a dovedit că în cazul companiilor mici care nu justifică un atac cibernetic de amploare, ameninţarea o reprezintă fie cineva din interior, fie cineva dinafară care utilizează ingineria socială. Majoritatea cazurilor recente cu care m-am confruntat au avut de a face cu păcălirea unor angajaţi să plătească facturi după furnizarea unor „noi date bancare”, de obicei prin email. Acest tip de ameninţare poate fi trasat către oameni din interior și exterior în același timp.
Ameninţarea din interior este evidentă: un angajat care vrea să se îmbogăţească rapid sau un angajat nemulţumit.
Există însă și o altă ameninţare din semi-interior: tipii de la IT. Multe companii, după ce cresc și au nevoie de instalarea unei reţele, aleg soluţia outsourcing-ului administrării infrastructurii lor de IT către o companie
specializată de IT. Acest lucru este în ordine și companiilor cu reputaţie li se poate acorda încrederea. Totuși, uneori lucrurile pot să nu fie în ordine și clienţii să fie afectaţi. Într-o investigaţie recentă am avut un caz în care de la o companie de suport IT din Glasgow au plecat câţiva angajaţi, dar nimeni nu s-a obosit să modifice credenţialele de login la serverele clienţilor, astfel încât cei care au plecat să nu mai aibă acces. Cu toate că nu a existat intenţionalitate, a fost o abatere gravă din partea lor.

A fost un accident…

Accidentele se întâmplă, dar este important să fim pregătiţi să le confruntăm. Cea mai mare problemă legată de utilizarea calculatoarelor și Internetului este că toată lumea are acces. Putem porni de la asumpţia că un profesionist (de ex. un medic sau un avocat) știe ce face. Corect? Ei bine… nu. Majoritatea juriștilor, de exemplu, nu sunt instruiţi în utilizarea calculatoarelor, a cloud-ului sau despre cum să se asigure că au calculatorul securizat. Este posibil să fi fost instruiţi să utilizeze un anumit software specific (de ex. de administrarea cazuisticii) și să scrie documente în Word și să le trimită prin email. Dar asta nu înseamnă că au până și cea mai vagă idee despre cum lucrează calculatoarele, fișierele sau email-ul. Și aceasta constituie o problemă. Nu aţi lăsa pe cineva neinstruit să vă opereze, dar aveţi încredere într-un profesionist lipsit total de instruire să administreze date sensibile despre voi, familia voastră sau compania voastră.
Anul acesta, în 16 martie, ICO (Information Commissionaire’s Office) din UK a amendat un avocat cu o amendă de 1.000£4 pentru scurgerea unor documente sensibile. Avocatul a lucrat cu documente sensibile pentru client, de acasă, a utilizat un calculator partajat (utilizat și de soţ) și nu a criptat documentele conform cerinţelor curente, în vigoare. Nu a existat nici o dovadă că soţul ei ar fi citit documentele. Totuși, într-o zi acesta s-a decis că este momentul să facă un upgrade de software și s-a gândit că ar fi bine să facă un backup în cloud și pentru fișierele sensibile ale soţiei, utilizând un serviciu care s-a dovedit că permitea indexarea acestora de către motoarele de căutare și permitea acces fără parolă. Dintre cele 725 de documente care au fost upload-ate, doar 15 au fost indexate, dar 6 dintre acestea conţineau informaţii foarte sensibile în legătură cu Court of Protection și Family Court. Scurgerea a doar 6 documente a afectat direct și indirect cca. 200-250 de persoane, inclusiv copii și adulţi vulnerabili.
Scurgerea s-a datorat unei greșeli și nimeni nu a afirmat că s-a produs în mod intenţionat, din această cauză amenda a fost foarte mică. Totuși avocatul ar fi trebuit să fie mai bine informat. Există ghiduri de conduită elaborate de barou și de camerele acestuia pe care le-a ignorat.

Vine GDPR-ul…

Noul Regulament General de Protecţie a Datelor (General Data Protection Regulation) – GDPR este pe drum și a mai rămas mai puţin de un an pentru implementare și conformare.
Studii recente (în special la solicitarea Freedom of Information) au arătat că un număr semnificativ de companii și de organizaţii guvernamentale nu vor putea respecta termenul. Conform Law Society (Anglia) doar 54% dintre companii cred că se vor încadra în termen, ceea ce înseamnă că aproape jumătate nu cred că se vor încadra. În același timp 24% dintre companii nu au început nici măcar să își facă un plan..
Situaţia este și mai îngrijorătoare dacă ne referim la administraţia locală. Conform ICO5:
Rezultatele6 despre gradul de pregătire al consiliilor sunt îngrijorătoare. Ele administrează volume uriașe de date personale despre toţi cei care sunt în viaţă, muncesc sau deţin o proprietate sau un business în jurisdicţia lor. GDPR va trebui să fie un one-stop-shop pentru siguranţa și intimitatea datelor, caracteristica sa majoră fiind „privacy by design”.
Companiile vor trebui să ia măsuri să se asigure că au făcut tot ceea ce este posibil pentru a asigura integritatea datelor personale pe care le deţin, utilizarea corespunzătoare a acestora și punerea lor la dispoziţie când este necesar. Cu alte cuvinte, trebuie să înveţe cum să depună toate eforturile necesare. Noua legislaţie prevede amenzi serioase și experţii din industrie speculează că primele companii mari care nu se vor conforma ar putea fi amendate cu suma maximă (sau apropiată de maxim) pentru a fi un exemplu. Totuși prin depunerea tuturor eforturilor necesare, implementarea proceselor, audituri regulate și asigurări de securitate cibernetică, ar putea reduce răspunderea organizaţiilor acuzate.

Epilog

Companiile trebuie să înţeleagă că activele digitale și datele sensibile pe care le deţin sunt importante nu doar pentru operaţiunile lor de business. Ele sunt importante pentru toţi stakeholder-ii și pentru toţi cei care ar putea fi afectaţi dacă date sensibile ajung să fie făcute publice.
Companiile trebuie să se lepede de mentalitatea „nu mi se va întâmpla mie” sau „suntem o companie prea mică pentru ca cineva să-și bată capul cu noi”. S-a întâmplat unor organizaţii de toate dimensiunile, de la unele cu proprietar unic și practicieni și până la fundaţii și multinaţionale.
Companiile trebuie să înceapă să își planifice măsurile de securitate și de conformare GDPR. Acestea nu sunt două activităţi izolate. Ele sunt corelate direct și dacă sunt făcute corespunzător, în același timp, rezultatul final va fi mai eficient, mai funcţional și va aduce mai multă valoare business-ului.
Câteva dintre problemele pe care toate companiile și organizaţiile trebuie să se concentreze sunt:
Investiţia în software de securitate cibernetică de bază (anti malware și firewall-uri);
Investiţii (dacă este relevant) în software pentru Data
Loss Prevention și Data Loss Detection;
Investiţii în instruirea tuturor angajaţilor, despre principiile de bază în privinţa principiilor și proceselor de siguranţa datelor;
Securitatea datelor și Privacy by design;
Audituri regulate a politicilor IT, conformare software și hardware;
Pregătirea pentru conformarea GDPR;
Pregătirea unui plan de răspuns la incidente;
Pregătirea unui plan de recuperare în caz de dezastre;
Instruiri regulate și simulări de atacuri pentru echipa de intervenţie (Response Team);
Elaborarea unui plan de control a pagubelor (cu un avocat și/sau echipa PR);
Apelarea la o firmă de Digital Forensics sau la un practician pentru investigarea oricărui incident care este descoperit.
Prevenţia este întotdeauna mai ieftină decât curăţarea mizeriei de după.


1 http://breachlevelindex.com
2 http://breachlevelindex.com/assets/Breach-Level-Index-Report-2016-Gemalto.pdf
3 http://breachlevelindex.com/assets/Breach-Level-Index-Infographic-2016-Gemalto-1500.jpg
4 https://ico.org.uk/media/action-weve-taken/mpns/2013678/mpn-data-breach-
barrister-20170316.pdf
5 https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2017/03/ico-survey-
shows-many-councils-have-work-to-do-to-prepare-for-new-data-protection-law/
6 https://iconewsblog.org.uk/2017/03/20/information-governance-survey/

Vassilis Manoussos

Vassilis Manoussos este un consultant Digital Forensics, proprietar al Strathclyde Forensics și consultant al The Security Circle din Glasgow. În același timp el este cadru universitar asociat al Edinburgh Napier University și The Cyber Academy. El are o experiență vastă în investigații digital forensic, auditarea de rapoarte ale poliției și în furnizarea de consultanță în domeniul securității cibernetice. El este un speaker frecvent la conferințe internaționale, simpozioane și la universități din Marea Britanie.
Dl. Manoussos poate fi contactat la adresa vassilis@ForensicsExperts.co.uk