Europos Komisija patvirtino debesijos saugumo pažeidimą: „Europa.eu“ atakos padarinių analizė

Vidutiniškai organizacijai prireikia 277 dienų duomenų saugumo pažeidimui nustatyti ir suvaldyti, tačiau Europos Komisija šią savaitę susidūrė su kur kas trumpesniu laiko tarpu. Penktadienį Europos Sąjungos vykdomoji institucija patvirtino, kad buvo įsilaužta į jos debesijos infrastruktūrą, po to, kai grėsmių sukėlėjai pareiškė, jog buvo pavogta šimtai gigabaitų jautrių duomenų.

Nors Komisija skubiai pareiškė, kad jos vidinės sistemos liko nepaliestos, šis incidentas išryškina nesaugią šiuolaikinio valdymo realybę: net ir reguliuotojai nėra apsaugoti nuo sudėtingų šiuolaikinių hakerių atakų. Kaip asmuo, praleidęs metus analizuodamas grėsmių žvalgybos ataskaitas ir bendraudamas su informatoriais šifruotais kanalais, aš jau esu matęs šį modelį. Įsilaužimas į viešą platformą dažnai yra tik ledkalnio viršūnė arba bent jau didelis smūgis institucijos reputacijai.

„Europa.eu“ incidento anatomija

Pažeidimas buvo nukreiptas būtent į infrastruktūrą, kurioje talpinama Europa.eu platforma. Tai yra skaitmeninis Europos Sąjungos veidas, didžiulė viešos informacijos, politikos dokumentų ir administracinių duomenų saugykla. Remiantis pranešimais, užpuolikams pavyko įsiskverbti į Komisijos aplinką „Amazon Web Services“ (AWS) platformoje ir, kaip teigiama, pasisavinti kelias duomenų bazes.

Rizikos požiūriu skirtumas tarp „debesijos infrastruktūros“ ir „vidinių sistemų“ yra kritinis. Komisijos atstovė spaudai Nika Blazevic pabrėžė, kad pagrindinis vidinis tinklas, kuriame vyksta jautriausias diplomatinis ir teisėkūros darbas, nebuvo paveiktas. Tačiau reguliavimo kontekste šimtų gigabaitų duomenų praradimas iš debesijos aplinkos vis tiek yra reikšmingas įvykis. Įdomu tai, kad hakeriai pateikė prieigos įrodymus per ekrano nuotraukas – tai įprasta taktika, naudojama siekiant daryti spaudimą organizacijoms derybose arba patvirtinti savo „reputaciją“ tamsiojo žiniatinklio (angl. dark web) forumuose.

Duomenys kaip naftos išsiliejimas: nuotėkio poveikis

Žvelgdami į grėsmių aplinką, duomenų saugumo pažeidimus turime vertinti kaip naftos išsiliejimą. Kai informacija pasklinda, ją beveik neįmanoma visiškai išvalyti, o žala pasitikėjimui gali trukti ne vienerius metus. Šiuo atveju pavogtose duomenų bazėse galėtų būti bet kas – nuo naudotojų prisijungimo duomenų prie portalų iki išsamių metaduomenų apie vidines darbo eigas.

Užkulisiuose incidentų tyrėjai tikriausiai atlieka išsamią teismo ekspertizę, kad nustatytų, kaip tiksliai užpuolikai pateko į vidų. Ar tai buvo sudėtingas „nulinės dienos“ (angl. zero-day) išnaudojimas, ar kažkas paprastesnio, pavyzdžiui, netinkamai sukonfigūruotas S3 saugyklos konteineris ar pavogti prisijungimo duomenys? Mano patirtis tiriant duomenų nutekėjimus rodo, kad „slaptas“ šių atakų pobūdis dažnai rodo debesijos valdymo klaidą, o ne paties debesijos paslaugų teikėjo klaidą. AWS suteikia įrankius patikimai gynybai, tačiau atsakomybė už tų įrankių konfigūravimą tenka klientui.

Reguliavimo ironija ir atitikties spragos

Yra tam tikros ironijos tame, kad Europos Komisija tapo kibernetinės atakos auka. Tai institucija, kuri inicijavo BDAR (angl. GDPR) ir naujausią Kibernetinio atsparumo aktą, siekdama griežtų saugumo standartų visame žemyne. Atitikties požiūriu šis incidentas tikriausiai paskatins įvairiapusį vidinį auditą.

Pagal šią struktūrą Komisija dabar turi pati taikyti tai, ką skelbia apie skaidrumą ir aktyvų informacijos atskleidimą. Nepaisant nepatogios situacijos, greitas Komisijos atakos patvirtinimas yra teigiamas žingsnis atskaitomybės link. Praktikoje daugelis organizacijų bando nuslėpti pažeidimo mastą, kol jas priverčia išorinis pranešimas. Pripažindama pažeidimą netrukus po to, kai apie jį pranešė nepriklausomi šaltiniai, EK bando išlaikyti savo, kaip skaidrios institucijos, vaidmenį.

Atakos paviršiaus vertinimas architektūros lygmeniu

Architektūros lygmeniu Europa.eu platforma reprezentuoja didžiulį atakos paviršių. Ji aptarnauja milijonus naudotojų ir talpina painų subdomenų bei paslaugų labirintą. Valdant tokį platų pėdsaką reikalingas „nulinio pasitikėjimo“ (angl. zero trust) požiūris – filosofija, pagal kurią kiekviena užklausa yra tikrinama, nepriklausomai nuo jos kilmės.

Jei tinklo perimetrą traktuosime kaip pasenusį pilies griovį, pradėsime suprasti, kodėl debesijos pažeidimai yra tokie paplitę. Užpuolikams nebereikia „įsilaužti“, jei jie gali tiesiog rasti pamirštą raktą po skaitmeniniu durų kilimėliu. Duomenų viliojimas (angl. phishing) išlieka skaitmeniniu Trojos arkliu, kuris gali apeiti net brangiausias ugniasienes, jei žmogaus ugniasienė – darbuotojai – nėra tinkamai apmokyti.

Praktinės įžvalgos organizacijoms

Šis incidentas yra kritiškai svarbus priminimas bet kuriai organizacijai, naudojančiai debesijos paslaugas. Nesvarbu, ar esate maža įmonė, ar tarptautinis subjektas, pamokos išlieka tos pačios. Norėdami išvengti panašaus likimo, apsvarstykite šiuos veiksmus:

• Debesijos leidimų auditas: Įgyvendinkite mažiausių privilegijų principą. Užtikrinkite, kad paslaugų paskyros ir naudotojai turėtų tik tokią prieigą, kurios jiems reikia savo funkcijoms atlikti.
• Įjunkite daugiaveiksnį autentifikavimą (MFA): Tai išlieka efektyviausia priemone prieš prisijungimo duomenų vagystę. Jis turėtų būti privalomas visai prieigai prie debesijos konsolės.
• Stebėkite šešėlinį IT: Dažnai duomenys nuteka iš „tamsiosios medžiagos“ projektų – duomenų bazių ar testavimo aplinkų, kurios buvo sukurtos be oficialios IT priežiūros ir niekada nebuvo tinkamai apsaugotos.
• Peržiūrėkite bendros atsakomybės modelį: Tiksliai supraskite, ką saugo jūsų debesijos paslaugų teikėjas ir už ką esate atsakingi jūs. Virtualios mašinos operacinės sistemos atnaujinimas yra jūsų darbas; pagrindinės techninės įrangos apsauga – jų.
• Atlikite reguliarias teismo ekspertizės pratybas: Nelaukite pažeidimo, kad sužinotumėte, ar jūsų žurnalai (angl. logs) tikrai įrašomi. Išbandykite savo incidentų valdymo planą, kad įsitikintumėte, jog jūsų komanda gali veikti ryžtingai esant spaudimui.

Žvelgiant į ateitį

Galiausiai Europos Komisijos pažeidimo tyrimas tęsiasi. Dar nežinome, ar tai buvo valstybės remiamos APT (angl. Advanced Persistent Threat) grupės darbas, ar finansiškai motyvuotos grupės, ieškančios aukšto lygio taikinio. Žinome tik tai, kad skaitmeninė aplinka tampa vis priešiškesnė, o neatitikties ar aplaidaus saugumo kaina yra didesnė nei bet kada anksčiau.

Žengiant į priekį, dėmesys turi nukrypti nuo reaktyvaus suvaldymo į proaktyvų atsparumą. Komisija suvaldė ataką, tačiau ilgalaikis darbas atkuriant pasitikėjimą ir stiprinant Europa.eu infrastruktūrą tik prasideda. Kibernetinio saugumo pasaulyje nėra tokio dalyko kaip galutinis produktas – tik nuolatinis lopymas, stebėjimas ir prisitaikymas prie kitos horizonte pasirodančios grėsmės.

Šaltiniai:

• European Commission Official Statement on Cloud Infrastructure Incident.
• TechCrunch Reporting on EC Cyberattack Confirmation.
• Bleeping Computer Investigation into AWS Data Theft Claims.
• EU Agency for Cybersecurity (ENISA) Threat Landscape Reports.