Podczas konferencji Business Sync Hub Paula Rutkowska, specjalistka IBM Technology, przeanalizowała ciekawe i niekiedy zaskakującecyberataki z 2024 roku i pokazała, jak każdego z nich można było uniknąć. Jej przesłanie było jednoznaczne: atakujący wykorzystują dobrze znane luki bezpieczeństwa, a organizacje, które nie śledzą wydarzeń w świecie cyberbezpieczeństwa wciąż mogą się na nie złapać.
Polska w czołówce zagrożeń cyberatakami
Paula rozpoczęła od liczb, które humorystycznie określiła jako „mrożące krew w żyłach”. Tygodniowo w Polsce atakowanych jest ponad 1600 firm. Polska znajduje się w pierwszej piątce najbardziej zagrożonych cyberatakami krajów Unii Europejskiej, co wynika między innymi z naszej geograficznej bliskości do zagrożeń za wschodnią granicą. To nie jest teoria, to codzienna rzeczywistość dla polskich organizacji.
Przytoczone statystyki pokazują skalę problemu: 45% firm wskazuje wyciek danych i haseł jako główny problem bezpieczeństwa. 68% naruszeń polityk cyberbezpieczeństwa było związane z człowiekiem. Najbardziej szokującą liczbą jest chyba w tym wszystkim wzrost ataków wykorzystujących podatności, które już znamy – o 180%. To oznacza, że zamiast uczyć się nowych technik, atakujący wciąż wykorzystują powszechnie znane luki, a my się nie uczymy i nie chronimy.
Przypadek Ascension: szpital zagrożony przez siedem serwerów
Pierwszym studium przypadku był atak na sieć szpitali Ascension ze Stanów Zjednoczonych. Hakerzy włamali się na zaledwie siedem z 25 tysięcy serwerów systemu. Wydawać się może, że to niewiele, ale konsekwencje były dramatyczne. Zamieszano w danych medycznych pacjentów, a jeden z pielęgniarzy przyznał, że mało brakowało, a podałby dziecku śmiertelną dawkę leku.
Co poszło nie tak? Haker wysłał mail ze złośliwym oprogramowaniem i zainfekował komputer pracownika. Pytania, które powinny być zadawane to: Kto wysłał maila? Czy mail nie wyglądał podejrzanie? Kto powiadomił o zagrożeniu? Czy zadziałał system antywirusowy? Jaka była reakcja IT? Te pytania powinny być standardem procedur bezpieczeństwa, a jednak w 2024 roku organizacje wciąż ich nie zadają.
Rozwiązaniem byłoby wdrożenie systemów klasy SIEM, które agregują logi i informacje z różnych źródeł, analizują je w czasie rzeczywistym i korelują zdarzenia w celu wykrycia zagrożeń. IBM QRadar, to przykład narzędzia, które obserwuje otoczenie IT i mówi „Hej, zrób coś!” gdy pojawia się anomalia.
Global Telecommunication Hack: rok w sieci bez wykrycia
Drugi przypadek dotyczył jednego z największych haków na operatorów telekomunikacyjnych. T-Mobile, AT&T i Verizon zostały zainfekowane przez hakerów działających na zlecenie chińskiego rządu. Celem była luka w urządzeniach sieciowych Fortinet i Cisco. Hakerzy uzyskali dostęp do konta administratora, które nie było chronione wieloskładnikowym uwierzytelnianiem (MFA).
Najgorsze: siedzieli w sieci ponad rok, zanim zostali wykryci. Zyskali dostęp do systemów podsłuchowych, także takich, gdzie to sąd wydał nakazy podsłuchu. Doszło do wycieku informacji dotyczących kluczowych polityków i przestępców kraju.
Co zawiodło? Zabrakło MFA. Urządzenia sieciowe nie były aktualizowane, a połączenia z Chin nie były wyłapywane, bo hakerzy używali VPN. To wszystko razem stworzyło przepis na katastrofę.
Hasła administratorów powinny być najdokładniej chronioną tajemnicą. Nikt nie powinien znać hasła, a nawet jeśli, to poznanie hasła nie powinno wystarczać do zalogowania się. Wielopoziomowa zgoda na dostęp, komentowanie operacji, ograniczony czas dostępu i monitorowanie, to minimalny standard. IBM Verify Vault wspiera takie procedury.
Medily: pacjenci w całym internecie
Trzeci przykład to polska historia. Firma Medily, producent oprogramowania Aureo, padła ofiarą ataku, w wyniku którego wyciekły dane 180 tysięcy pacjentów z Dolnego Śląska. Imiona, nazwiska, PESEL, adresy, historie chorób, dane lekarzy. To osoby, których intymne informacje zdrowotne trafiły do sieci.
Co poszło nie tak? Medily postawiła serwer testowy i zapomniała go zabezpieczyć firewallem. Na tym serwerze były dane produkcyjne pacjentów. Login i hasło administratora były dostępne publicznie. Haker znalazł hasło do bazy danych w publicznie dostępnym kodzie strony Medily, a serwer nie był chroniony VPN.
Co szczególnie porusza? Umowa przewidywała usunięcie danych z tego serwera w 2021 roku, czyli trzy lata przed atakiem. Nikt tego nie zrobił. To nie był brak bezpieczeństwa, a rażące zaniedbanie.
Paula podkreśliła znaczenie wdrożenia ITDR (Identity Threat Detection and Response) – narzędzi, które wykrywają produkcyjne dane na serwerach testowych, skanują je i wyłapują te, które powinny być chronione. Rozwiązania takie jak IBM Verify Identity Protection mogą wspomóc takie procedury.
Schneider Electric: ransomware i bagietki
Ostatni przypadek pokazał brak nauki na własnych błędach. Schneider Electric padł ofiarą ransomware’u przez grupę Hellcat, która zaatakowała między innymi Jaguara. Skradziono 40 GB danych i zażądano okupu w wysokości 125 000 $ płatnych w formie….101 217 tysięcy świeżych bagietek (albo połowy, jeśli Schneider przyzna się do ataku).
Przyczyna? Pracownik o wysokich uprawnieniach kliknął na link do YouTube’a, pod którym ukryty był PDF z wirusem. Hakerzy szybko weszli w system i wykradli dane projektów, pracowników, kosztów, marż. Dodatkowo dostali się do API RESTowego (Omni Orange), a 40 GB danych przełożyło się na ponad 400 tysięcy rekordów danych użytkowników.
To otworzyło temat sekretów nieludzkich, czyli technicznych sekretów aplikacji. Badania pokazują, że na każdą osobę w organizacji przypada około 140 sekretów aplikacyjnych. Aplikacje rozmawiają między sobą, komponenty z bazami danych, a my nie mamy tego świadomości. Sekrety te żyją zbyt długo, nie rotują się, nie mają minimalnych uprawnień.
Takie sekrety, według Pauli, powinny być przechowywane w skarbcu, nie w logach czy notesach. Narzędziem do tego jest HashiCorp Vault, który IBM przejął w lutym 2024 roku, który dostępny jest również w wersji open source.
Czy jesteś bezpieczny?
Paula zakończyła prezentację instrukcją: nie czekaj, aż dla Twojej organizacji będzie za późno. Przeanalizuj powyższe przypadki, wypisz braki bezpieczeństwa, które w nich wystąpiły i sprawdź, czy takie rzeczy pojawiają się także w Twojej firmie. Jeśli tak, to czas na działanie. Atakujący wykorzystują dokładnie te same luki – Ty możesz być przygotowany.
