95% niepewności, 6% matematyki

0
1050

Coś się nie zgadza w tytule, prawda? Dodawanie powinno dać inny wynik. Popełniłem błąd. Niby normalna rzecz, błędy się zdarzają. Błądzić jest rzeczą ludzką. Nie myli się tylko ten, kto nic nie robi. Itd., itp. I wszystko byłoby pięknie, gdyby nie konsekwencje. 17. wydanie The Global Risks Report 2022 przygotowane przez Światowe Forum Ekonomiczne nie pozostawia złudzeń.

Za 95% naruszeń bezpieczeństwa sieci lub danych odpowiadają ludzie. Niektóre z tych błędów rzuciły kilka znanych spółek na kolana. W artykule z „GU” nr 26 (z 27 czerwca) pisałem o kuriozalnych atakach hakerskich.

Dzisiaj przyjrzymy się, jak drogi może być błąd popełniony przez najbardziej niebezpieczny, bo nieprzewidywalny, czynnik ludzki.

Szkoła średnia i departament edukacji

W sierpniu 2018 r. pracownik szkoły średniej w Strathmore przypadkowo opublikował w szkolnym intranecie, do którego mają dostęp wszyscy uczniowie i rodzice, dane dotyczące ponad 300 uczniów. Wśród danych znalazły się informacje wrażliwe o podopiecznych z takimi schorzeniami, jak ADHD, urazy mózgu, zespół Aspergera i autyzm, a także informacje o przyjmowanych lekach, pomocy socjalnej oraz terapiach.

W lutym 2018 r. pracownik Biura Administracji Departamentu Edukacji w Pensylwanii popełnił błąd, który wpłynął na stanowy system zarządzania informacjami o nauczycielach (Teacher Information Management System – TIMS). Baza danych TIMS zawiera dane osobowe nauczycieli ubiegających się o certyfikaty nauczycielskie w Pensylwanii i posiadających takie certyfikaty.

Incydent umożliwiał osobom, które zalogowały się do TIMS, dostęp do danych osobowych należących do innych użytkowników, w tym nauczycieli oraz pracowników okręgów szkolnych i personelu Departamentu Edukacji. Szacuje się, że incydent dotknął – bagatela – 360 tys. osób.

Toyota Boshoku Corporation i Sequoia Capital

W sierpniu 2019 r. europejska spółka zależna Toyota Group, Toyota Boshoku Corporation, stała się ofiarą zmasowanego ataku BEC (rodzaj ataku socjotechnicznego), który kosztował firmę 37,3 mln dol. 14 sierpnia 2019 r. dostawca części został nakłoniony do wykonania przelewu na konto bankowe hakerów.

Przestępcy podszyli się pod jednego z partnerów biznesowych Toyota Boshoku, wysyłając starannie spreparowane e-maile do pracowników działów księgowych i finansowych. W e-mailach tych zawarte były prośby o przesłanie środków na określone konto bankowe, należące do hakerów. Wkrótce po dokonaniu transferu eksperci ds. bezpieczeństwa firmy zdali sobie sprawę, że zostali oszukani. Jednak było już za późno, aby cofnąć transfery.

W lutym 2021 r. jedna z najstarszych i najbardziej znanych firm venture capital w Dolinie Krzemowej, Sequoia Capital, została zhakowana. Cyberatak zakończył się sukcesem, ponieważ jeden z pracowników Sequoia padł ofiarą ataku phishingowego.

Koncentrując się na startupach energetycznych, korporacyjnych, finansowych, zdrowotnych, mobilnych i internetowych, firma zdobyła ponad 1100 klientów korporacyjnych oraz ponad 200 klientów międzynarodowych.

Leoni AG

W 2016 r. czołowy producent przewodów i kabli, Leoni AG, padł ofiarą ataku BEC. Z kont firmy wyparowały 44 mln dol. Przestępcy podszyli się pod dyrektora wyższego szczebla, aby wysyłać e-mail do pracownika działu finansowego fabryki firmy w Bistrita w Rumunii. Wiadomość została przygotowana niezwykle starannie (z użyciem informacji wewnętrznych firmy), aby wyglądać autentycznie.

Przestępcy nakłonili pracownika do wykonania przelewu na kwotę 44 mln dol. z konta bankowego firmy na rachunek bankowy w Czechach.

Wygasłe certyfikaty cyfrowe Equifax

Wiosną 2017 r. zespół Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci (Computer Emergency Response Team – CERT) wysłał do agencji Equifax, raportującej kredyty konsumenckie, zawiadomienie o luce w zabezpieczeniach niektórych wersji Apache Struts (nowoczesna struktura Java do tworzenia aplikacji internetowych dla przedsiębiorstw).

Według zeznań byłego dyrektora generalnego Equifax Richarda Smitha, złożonych przed Komitetem ds. Energii i Handlu, zespół ds. bezpieczeństwa IT powinien był użyć tego zawiadomienia, aby naprawić lukę w zabezpieczeniach, ale tak się nie stało. Automatyczne skanowanie, wykonane kilka dni później, również nie wykryło podatnej na ataki wersji Apache Struts.

Ponadto urządzenie kontrolujące zaszyfrowany ruch było źle skonfigurowane z powodu certyfikatu cyfrowego, który wygasł dziesięć miesięcy przed zdarzeniem. Przeoczenia te umożliwiły przestępcom na włamanie się do systemu Equifax w połowie maja i utrzymanie dostępu do końca lipca.

Ericsson i Veeam

Z początkiem grudnia 2018 r. wygasł certyfikat cyfrowy używany przez szwedzką firmę telekomunikacyjną Ericsson do oprogramowania SGSN–MME (Serving GPRS Support Node – Mobility Management Entity). Incydent ten spowodował przerwy w działaniu klientów różnych brytyjskich operatorów komórkowych, w tym O2, GiffGaff i Lyca Mobile. W rezultacie 6 grudnia dostęp do sieci 4G i SMS-ów straciło łącznie 32 mln osób w samej Wielkiej Brytanii. Poza Wielką Brytanią awaria dotknęła 11 krajów, w tym Japonię.

Pod koniec sierpnia 2018 r. wyszukiwarka Shodan zindeksowała adres IP udostępniony przez Amazon. Bob Diachenko, dyrektor ds. badań nad zagrożeniami cybernetycznymi w Hacken.io, natknął się na niego 5 września i ustalił, że ów adres przekształcił się w niczym niezabezpieczoną bazę danych.

Ujawniona baza zawierała 200 GB danych, należących do Veeam, firmy zajmującej się tworzeniem kopii zapasowych i odzyskiwaniem danych. Wśród danych były także te dotyczące klientów, w tym nazwiska, adresy e-mail i niektóre adresy IP.

e-mailowe niewypały Marine Corps

Na początku 2018 r. jeden z pracowników Departamentu Obrony Stanów Zjednoczonych wysłał niezaszyfrowaną wiadomość e-mailową z załącznikiem do niewłaściwej listy dystrybucyjnej. Załącznik zawierał dane osobowe ok. 21 500 żołnierzy piechoty morskiej, marynarzy i cywilów. Według Marine Corp Times dane zawierały numery kont bankowych, skrócone numery ubezpieczenia społecznego i dane kontaktowe w nagłych wypadkach.

Jak wyraźnie pokazują powyższe przypadki, nawet drobny błąd ludzki może mieć katastrofalne skutki dla całej organizacji. Bez względu na to, ile zainwestujemy w kosztowne i wyrafinowane rozwiązania bezpieczeństwa, nasza organizacja będzie bezpieczna tylko wtedy, gdy obroni się także jej ludzki aspekt.

Łukasz Cichowski
starszy broker
MAI Insurance Brokers Poland