Amenințări din interior: neînțelegeri și provocări.Întotdeauna subestimate, ne-raportate și ignorate.

Focus, Tendinte (de , September 8, 2017)

Breșele de date subiect de știri

Breșele de date, atacurile cibernetice, interferențele cibernetice sponsorizate de state și amenințarea unui război cibernetic sunt acum o temă constantă în media mainstream. Lumea aude și citește din ce în ce mai mult despre acestea, dar cu ce învățături se alege?

Cazurile care ajung la știri sunt întotdeauna despre breșe mari, de dimensiunea celor de la Talk-Talk, Sony și Yahoo. Cifrele mari sunt cele care atrag atenția și despre care te aștepți ca media să scrie. Acestea sunt cazuri prea mari ca să poată fi ascunse, prea mari ca să poată fi administrate și rezolvate imediat. Sunt acele cazuri care ne șochează prin simpla lor dimensiune și prin cifre. Yahoo! a avut 1 miliard de conturi de email compromise. Talktalk a pierdut datele private și bancare a 157.000 de clienți. BUPA (care face parte din industria de sănătate, cea mai mare sursă de breșe de date din lume) a pierdut 500.000 de înregistrări. NHS, universitățile, Tesco Bank, Three Mobile sunt doar alte exemple de același gen.

Problema, totuși, este că acestea sunt business-uri uriașe care operează în domenii extrem de reglementate (telecom, bancar și sănătate) în care legile de protecție a datelor și alte prevederi regulatorii obligă la declararea breșelor și notificarea celor afectați. Aceste cifre nu iau totuși în considerare cazurile mai mici de breșe de date, scurgeri și hack-uri. Adevărul este că marile companii vor fi întotdeauna țintele predilecte ale atacurilor. Companiile mici nu sunt neapărat o țintă, dar acestea au tendința de a-și pierde propriile date, deoarece nu au implementate proceduri de securitate elementare și nici nu fac nici un fel de training cu angajații lor. IMM-urile și microîntreprinderile nu știu adesea unde le sunt stocate datele și cel mai adesea nu devin conștiente de existența unei breșe sau scurgeri de date, până în momentul în care sunt afectate direct (de ex. când cineva folosește informații din interior pentru a extrage bani din firmă, de obicei prin phishing sau alte forme de inginerie socială).

Destul de des, IMM-urile își pierd datele prin intermediul unui terț: un furnizor, un client sau chiar o agenție guvernamentală. Breșele de date se pot întinde de la foarte simple până la cele mai grave. În cea mai simplă formă, o breșă poate fi sustragerea adreselor de email din agenda de adrese. Eu am mai multe conturi de business pe care le utilizez în scopuri diferite. Pe un cont pe care îl utilizam pentru a comunica cu clienți și potențiali clienți am început să primesc un volum tot mai mare de spam. Știam că nu am folosit acea adresă de email ca să mă înregistrez pe nici un site și că firewall-urile și soft-urile mele de securitate sunt la zi și la locul lor. De fapt, peste alte 30 de conturi de email pe care le deschisesem pe domeniul meu nu primeau spam deloc. Adresa de email care era inundată cu spam a fost găsită pe calculatoarele unor persoane care nu aveau soluții de securitate instalate, sau aveau soluții slabe. Urmarea a constituit-o faptul că adresa mea de email a ajuns în numeroase liste de spam, distribuite în întreaga lume. La un moment dat, până și filtrele mele de spam nu au mai făcut față, astfel încât a trebui să închid acel cont și să deschid altul. Acesta este un mod indirect de scurgere la care personele și companiile sunt expuse mult prea adesea. Evident, acest caz s-a aflat la nivelul cel mai de jos al spectrului și a devenit mai degrabă un deranj decât un risc pentru mine. Dar în același fel, un dispozitiv contaminat al unui furnizor sau consultant pot duce la scurgeri de informații sensibile, care pot conduce la pierderi financiare directe.

Ce relevă cifrele

Statisticile despre breșele de date pot diferi de la sursă la sursă, dar tendința pare să fie consistentă. Domeniile sănătății și guvernamental sunt cele două surse majore de breșe și scurgeri.

Conform lui Gemalto și indexului lor BreachLevelIndex, în 2016 au fost compromise un număr record de înregistrări de 1.378.509.261 articole în 1.792 de scurgeri de date. Un semn bun îl constituie faptul că 4,2% din datele scurse erau criptate, fiind practic lipsite de valoare pentru cei care au ajuns în posesia lor. Vestea proastă este că doar 4,2% din datele care s-au scurs erau criptate. O altă statistică deranjantă este că în cazul a 52,2% dintre breșe numărul articolelor/înregistrărilor compromise este clasificat ca “necunoscut“.

 

 

 

 

 

 

 

Fig. 1. Cauze pentru scurgerile de date (sursa: breachlevelindex.com)

Când vine vorba despre organizații mari, riscul vine adesea din exteriorul perimetrului de securitate. După cum se poate vedea în Fig. 1, ceva mai mult de două treimi dintre breșe sunt orchestrate din exterior. Totuși un procent semnificativ de 28% se datorează celor din interior și pierderilor accidentale. Ambele situații reprezintă o amenințare combinată din interior pentru orice business.

 

 

 

 

 

 

 

 

Fig. 2. Tipuri de scurgeri de date (sursa: breachlevelindex.com)

Majoritatea breșelor de date se materializează în furt de identitate, cel mai mare risc pentru organizații și pentru clienții lor. Nu constituie o surpriză faptul că înregistrările organizațiilor și companiilor din domeniul sănătății constituie ținta predilectă a infractorilor cibernetici.

Amenințările din interior

Deoarece 28% dintre breșe și scurgeri provin din interiorul companiilor afectate, are sens ca organizațiile și CISO din acestea să își clădească apărarea pornind de la reducerea acestui segment de amenințări.

Conform Info Security Magazine, se estimează că 63% dintre companii au fost afectate de o surgere de date de “școală veche”: imprimanta. Se estimează că undeva între 10-18% din scurgerile din interior se datorează unor documente printate care părăsesc compania datorită unui angajat sau furnizor. Riscul se extinde și asupra documentelor care au fost furnizate organizațiilor statutare (de ex. autorități fiscale, administrație locală, autorități de mediu) care nu au distrus în mod corespunzător documentele pe care le-au primit. Acest procent este mare, în sine, dacă luăm în considerare că are loc în mediul corporatist în care imprimantele de rețea necesită log-area utilizatorilor pentru a printa, activitatea fiind astfel trasabilă.

Într-o companie mai mică, în care o imprimantă partajată nu necesită credențiale de logare pentru tipărirea unui document, singura modalitate de investigare a unei breșe cauzate de documente tipărite o reprezintă o investigație digital forensics sistematică (adesea disruptivă și scumpă). Din această cauză companiile mici sunt în prima linie a scurgerilor datorate printării.

Contează mărimea?

Chiar dacă răspunsul la această întrebare este cel mai adesea da, atunci când vine vorba despre securitatea datelor, răspunsul este cu timiditate NU! Nu contează cât de mică sau cât de mare este o organizație: activele digitale sunt valoroase pentru toți stakeholder-ii ei.

Majoritatea afacerilor mici și de familie nu utilizează în mod sistematic soluții de securitate care să le protejeze activele digitale. Ei cred că lor nu li se va întâmpla o scurgere de date, deoarece nu constituie o țintă importantă din punct de vedere financiar sau industrial. Realitatea este însă că micile companii, pe zi ce trece, suferă tot mai adesea de pe urma diferitelor tipuri de infracționalitate cibernetică, provocate de scurgeri de date sau de către angajați neloiali. Era în iunie 2013 când scurgerea de documente NSA, datorită lui Edward Snowden domina știrile. Snowden a ocolit protocoalele de securitate învechite și s-a folosit de de credențialele privilegiate de acces pentru a copia documente SUA clasificate pe un un dispozitiv flash. Lucrând din Honolulu, la o diferență de fus orar de câteva ore față de ferma de servere NSA de la a Fort Meade, el a deschis o breșă în securitatea SUA urmând câțiva pași simpli. Întrebarea pentru companiile mici devine simplă: dacă NSA a putut fi hack-uită de un angajat …ce credeți că vi se poate întâmpla vouă?

Adevărata amenințare…

Experiența a dovedit că în cazul companiilor mici care nu justifică un atac cibernetic de amploare, amenințarea o reprezintă fie cineva din interior, fie cineva dinafară care utilizează ingineria socială. Majoritatea cazurilor recente cu care m-am confruntat au avut de a face cu păcălirea unor angajați să plătească facturi după furnizarea unor “noi date bancare”, de obicei prin email. Acest tip de amenințare poate fi trasat către oameni din interior și exterior în același timp.

Amenințarea din interior este evidentă: un angajat care vrea să se îmbogățească rapid sau un angajat nemulțumit.

Există însă și o altă amenințare din semi-interior: tipii de la IT. Multe companii, după ce cresc și au nevoie de instalarea unei rețele, aleg soluția outsourcing-ului administrării infrastructurii lor de IT către o companie specializată de IT. Acest lucru este în ordine și companiilor cu reputație li se poate acorda încrederea. Totuși, uneori lucrurile pot să nu fie în ordine și clienții să fie afectați. Într-o investigație recentă am avut un caz în care de la o companie de suport IT din Glasgow au plecat câțiva angajați, dar nimeni nu s-a obosit să modifice credențialele de login la serverele clienților, astfel încât cei care au plecat să nu mai aibă acces. Cu toate că nu a existat intenționalitate, a fost o abatere gravă din partea lor.

A fost un accident…

Accidentele se întâmplă, dar este important să fim pregătiți să le confruntăm. Cea mai mare problemă legată de utilizarea calculatoarelor și Internetului este că toată lumea are acces. Putem porni de la asumpția că un profesionist (de ex. un medic sau un avocat) știe ce face. Corect? Ei bine… nu. Majoritatea juriștilor, de ex., nu sunt instruiți în utilizarea calculatoarelor, a cloud-ului sau despre cum să se asigure că au calculatorul securizat. Este posibil să fi fost instruiți să utilizeze un anumit software specific (de ex. de administrarea cazuisticii) și să scrie documente în Word și să le trimită prin email. Dar asta nu înseamnă că au până și cea mai vagă idee despre cum lucrează calculatoarele, fișierele sau email-ul. Și aceasta constituie o problemă. Nu ați lăsa pe cineva neinstruit să vă opereze, dar aveți încredere într-un profesionist lipsit total de instruire să administreze date sensibile despre voi, familia voastră sau comapnia voastră.

Anul acesta, în 16 martie, ICO (Information Commissionaire’s Office) din UK a amendat un avocat cu o amendă de 1.000£ pentru scurgerea unor documente sensibile. Avocatul a lucrat cu documente sensibile pentru client, de acasă, a utilizat un calculator partajat (utilizat și de soț) și nu a criptat documentele conform cerințelor curente, în vigoare. Nu a existat nici o dovadă că soțul ei ar fi citit documentele. Totuși, într-o zi acesta s-a decis că este momentul să facă un upgrade de software și s-a gândit că ar fi bine să facă un backup în cloud și pentru fișierele sensibile ale soției, utilizând un serviciu care s-a dovedit că permitea indexarea acestora de către motoarele de căutare și permitea acces fără parolă. Dintre cele 725 de documente care au fost upload-ate, doar 15 au fost indexate, dar 6 dintre acestea conțineau informații foarte sensibile în legătură cu Court of Protection și Family Court. Scurgerea a doar 6 documente a afectat direct și indirect cca. 200-250 de persoane, inclusiv copii și adulți vulnerabili.

Scurgerea s-a datorat unei greșeli și nimeni nu a afirmat că s-a produs în mod intenționat, din această cauză amenda a fost foarte mică. Totuși avocatul ar fi trebuit să fie mai bine informat. Există ghiduri de conduită elaborate de barou și de camerele acestuia pe care le-a ignorat.

Vine GDPR-ul…

Noul Regulament General de Protecție a Datelor (General Data Protection Regulation) – GDPR este pe drum și a mai rămas mai puțin de un an pentru implementare și conformare.

Studii recente (în special la solicitarea Freedom of Information) au arătat că un număr semnificativ de companii și de organizații guvernamentale nu vor putea respecta termenul. Conform Law Society (Anglia) doar 54% dintre companii cred că se vor încadra în termen, ceea ce înseamnă că aproape jumătate nu cred că se vor încadra. În același timp 24% dintre companii nu au început nici măcar să își facă un plan..

Situația este și mai îngrijorătoare dacă ne referim la administrația locală. Conform ICO:

 

 

 

 

 

 

 

 

Fig. 3. ICO despre administrația locală și GDPR (sursa: iconewsblog.org.uk)

Rezultatele despre gradul de pregătire al consiliilor sunt îngrijorătoare. Ele administrează volume uriașe de date personale despre toți cei care sunt în viață, muncesc sau dețin o proprietate sau un business în jurisdicția lor. GDRP va trebui să fie un one-stop-shop pentru siguranța și intimitatea datelor, caracteristica sa majoră fiind “privacy by design”.

Companiile vor trebui să ia măsuri să se asigure că au făcut tot ceea ce este posibil pentru a asigura integritatea datelor personale pe care le dețin, utilizarea corespunzătoare a acestora și punerea lor la dispoziție când este necesar. Cu alte cuvinte, trebuie să învețe cum să depună toate eforturile necesare. Noua legislație prevede amenzi serioase și experții din industrie speculează că primele companii mari care nu se vor conforma ar putea fi amendate cu suma maximă (sau apropiată de maxim) pentru a fi un exemplu. Totuși prin depunerea tuturor eforturilor necesare, implementarea proceselor, audituri regulate și asigurări de securitate cibernetică, ar putea reduce răspunderea organizațiilor acuzate.

Epilog

Companiile trebuie să înțeleagă că activele digitale și datele sensibile pe care le dețin sunt importante nu doar pentru operațiunile lor de business. Ele sunt importante pentru toți stakeholder-ii și pentru toți cei care ar putea fi afectați dacă date sensibile ajung să fie făcute publice.

Companiile trebuie să se lepede de mentalitatea “nu mi se va întâmpla mie” sausuntem o companie prea mică pentru ca cineva să-și bată capul cu noi”. S-a întâmplat unor organizații de toate dimensiunile, de la unele cu proprietar unic și practicieni și până la fundații și multinaționale.

            Companiile trebuie să înceapă să își planifice măsurile de securitate și de conformare GDPR. Acestea nu sunt două activități izolate. Ele sunt corelate direct și dacă sunt făcute corespunzător, în același timp, rezultatul final va fi mai eficient, mai funcțional și va aduce mai multă valoare business-ului.

Câteva dintre problemele pe care toate companiile și organizațiile trebuie să se concentreze sunt:

  • Investiția în software de securitate cibernetică de bază (anti malware și firewall-uri)
  • Investiții (dacă este relevant) în software pentru Data Loss Prevention și Data Loss Detection
  • Investiții în instruirea tuturor angajaților, despre principiile de bază în privința principiilor și proceselor de siguranța datelor
  • Securitatea datelor și Privacy by design
  • Audituri regulate a politicilor IT, conformare software și hardware
  • Pregătirea pentru conformarea GDPR
  • Pregătirea unui plan de răspuns la incidente
  • Pregătirea unui plan de recuperare în caz de dezastre
  • Instruiri regulate și simulări de atacuri pentru echipa de intervenție (Response Team)
  • Elaborarea unui plan de control a pagubelor (cu un avocat și/sau echipa PR)
  • aplearea la o firmă de Digital Forensics sau la un practician pentru investigarea oricărui incident care este descoperit.

Prevenția este întotdeauna mai ieftină decât curățarea mizeriei de după

Autor: Vassilios Manoussos

Vassilis Manoussos este un consultant Digital Forensics, proprietar al Strathclyde Forensics și consultant al The Security Circle din Glasgow. În același timp el este cadru universitar asociat al Edinburgh Napier University și The Cyber Academy.

 


Tags: ,

Trackbacks

Leave a Trackback