Eiropas Komisija apstiprina mākoņpakalpojumu drošības pārkāpumu: Europa.eu uzbrukuma seku analīze

Organizācijai ir nepieciešamas vidēji 277 dienas, lai identificētu un ierobežotu datu aizsardzības pārkāpumu, tomēr Eiropas Komisija šonedēļ nonāca saspringtā situācijā. Piektdien Eiropas Savienības izpildvara apstiprināja, ka tās mākoņinfrastruktūra ir tikusi kompromitēta pēc tam, kad apdraudējumu izraisītāji apgalvoja, ka ir nozagti simtiem gigabaitu sensitīvu datu.

Lai gan Komisija steidza paziņot, ka tās iekšējās sistēmas palikušas neskartas, šis incidents izgaismo nedrošo realitāti mūsdienu pārvaldībā: pat regulatori nav pasargāti no mūsdienu hakeru sarežģītajām metodēm. Kā cilvēks, kurš gadiem ilgi analizējis ziņojumus par draudu izlūkošanu un sazinājies ar informatoriem, izmantojot šifrētus kanālus, esmu redzējis šādu modeli jau iepriekš. Publiskas platformas drošības pārkāpums bieži vien ir tikai aisberga redzamā daļa vai vismaz būtisks trieciens institūcijas reputācijai.

Europa.eu incidenta anatomija

Drošības pārkāpums bija vērsts tieši pret infrastruktūru, kurā tiek uzturēta Europa.eu platforma. Tā ir Eiropas Savienības digitālā seja, milzīga publiskās informācijas, politikas dokumentu un administratīvo datu krātuve. Saskaņā ar ziņojumiem uzbrucējiem izdevās iekļūt Komisijas vidē Amazon Web Services (AWS), iespējams, nozogot vairākas datubāzes.

No riska viedokļa atšķirība starp 'mākoņinfrastruktūru' un 'iekšējām sistēmām' ir kritiska. Komisijas pārstāve Nika Blaževiča uzsvēra, ka galvenais iekšējais tīkls, kurā notiek sensitīvākais diplomātiskais un likumdošanas darbs, netika skarts. Tomēr regulatīvajā kontekstā simtiem gigabaitu datu zaudēšana no mākoņvides joprojām ir nozīmīgs notikums. Interesanti, ka hakeri sniedza pierādījumus par savu piekļuvi ar ekrānuzņēmumiem – tā ir izplatīta taktika, ko izmanto, lai izdarītu spiedienu uz organizācijām sarunās vai apstiprinātu savu 'autoritāti' tumšā tīkla (dark web) forumos.

Dati kā naftas noplūde: noplūdes ietekme

Raugoties uz draudu ainavu, datu aizsardzības pārkāpumi ir jāuztver kā naftas noplūde. Tiklīdz informācija ir nonākusi atklātībā, to ir gandrīz neiespējami pilnībā satīrīt, un kaitējums uzticībai var saglabāties gadiem ilgi. Šajā gadījumā nozagtās datubāzes varētu saturēt jebko – no lietotāju akreditācijas datiem piekļuvei portālam līdz detalizētiem metadatiem par iekšējām darba plūsmām.

Aizkulisēs incidentu reaģēšanas speciālisti, visticamāk, veic padziļinātu tiesu ekspertīzi, lai precīzi noteiktu, kā uzbrucēji iekļuva sistēmā. Vai tā bija sarežģīta nulles dienas (zero-day) ievainojamība vai kaut kas ikdienišķāks, piemēram, nepareizi konfigurēts S3 konteiners vai kompromitēti akreditācijas dati? Mana pieredze datu noplūžu izmeklēšanā rāda, ka šo uzbrukumu 'slepenais' raksturs bieži vien norāda uz kļūmēm mākoņpakalpojumu pārvaldībā, nevis paša mākoņpakalpojumu sniedzēja kļūmi. AWS nodrošina rīkus spēcīgai aizsardzībai, taču atbildība par šo rīku konfigurēšanu gulstas uz klientu.

Regulatīvā ironija un atbilstības trūkumi

Ir zināma ironija tajā, ka Eiropas Komisija ir kļuvusi par kiberuzbrukuma upuri. Šī ir iestāde, kas iestājās par VDAR (GDPR) un nesenāko Kiberdrošības aktu, pieprasot stingrus drošības standartus visā kontinentā. No atbilstības viedokļa šis incidents, visticamāk, izraisīs daudzpusīgu iekšējo auditu.

Šajā ietvarā Komisijai tagad ir jārīkojas saskaņā ar to, ko tā sludina attiecībā uz caurredzamību un proaktīvu informācijas atklāšanu. Neraugoties uz neērto situāciju, Komisijas ātrais apstiprinājums par uzbrukumu ir pozitīvs solis ceļā uz atbildību. Praksē daudzas organizācijas mēģina slēpt pārkāpuma mērogu, līdz tās piespiež ārējie ziņojumi. Atzīstot pārkāpumu neilgi pēc tam, kad par to ziņoja neatkarīgi avoti, EK mēģina saglabāt savu caurredzamas iestādes lomu.

Uzbrukuma virsmas novērtēšana arhitektūras līmenī

Arhitektūras līmenī Europa.eu platforma ir milzīga uzbrukuma virsma. Tā apkalpo miljoniem lietotāju un ietver sarežģītu apakšdomēnu un pakalpojumu labirintu. Lai pārvaldītu tik plašu struktūru, ir nepieciešama nulles uzticības (zero trust) pieeja – filozofija, kurā katrs pieprasījums tiek pārbaudīts neatkarīgi no tā izcelsmes.

Ja mēs uztveram tīkla perimetru kā novecojušu pils aizsarggrāvi, mēs sākam saprast, kāpēc mākoņpakalpojumu drošības pārkāpumi ir tik izplatīti. Uzbrucējiem vairs nav nepieciešams 'ielauzties', ja viņi var vienkārši atrast aizmirstu atslēgu zem digitālā kājslauķa. Pikšķerēšana joprojām ir digitālais Trojas zirgs, kas var apiet pat dārgākos ugunsmūrus, ja cilvēka ugunsmūris – darbinieki – nav atbilstoši apmācīts.

Praktiski ieteikumi organizācijām

Šis incidents kalpo kā kritiski svarīgs atgādinājums jebkurai organizācijai, kas izmanto mākoņpakalpojumus. Neatkarīgi no tā, vai esat mazs uzņēmums vai starptautiska korporācija, mācības paliek tās pašas. Lai izvairītos no līdzīga likteņa, apsveriet šādus rīcības soļus:

• Mākoņpakalpojumu atļauju audits: Ieviesiet minimālo privilēģiju principu. Nodrošiniet, lai pakalpojumu kontiem un lietotājiem būtu tikai tāda piekļuve, kas nepieciešama to pienākumu veikšanai.
• Iespējojiet daudzfaktoru autentifikāciju (MFA): Tas joprojām ir visefektīvākais pretpasākums pret akreditācijas datu zādzību. Tam jābūt obligātam visai piekļuvei mākoņpakalpojumu konsolei.
• Uzraugiet "ēnu IT" (Shadow IT): Bieži vien dati noplūst no 'tumšās matērijas' projektiem – datubāzēm vai testēšanas vidēm, kas tika izveidotas ārpus oficiālās IT uzraudzības un nekad netika pienācīgi nodrošinātas.
• Pārskatiet dalītās atbildības modeli: Precīzi saprotiet, ko nodrošina jūsu mākoņpakalpojumu sniedzējs un par ko esat atbildīgs jūs. Virtuālās mašīnas operētājsistēmas atjaunināšana ir jūsu darbs; pamata aparatūras drošība ir viņu ziņā.
• Veiciet regulāras tiesu ekspertīzes mācības: Negaidiet pārkāpumu, lai uzzinātu, vai jūsu žurnālieraksti (logs) tiešām tiek reģistrēti. Pārbaudiet savu incidentu reaģēšanas plānu, lai pārliecinātos, ka jūsu komanda spēj rīkoties izlēmīgi zem spiediena.

Skats nākotnē

Galu galā izmeklēšana par Eiropas Komisijas drošības pārkāpumu turpinās. Mēs vēl nezinām, vai tas bija valsts atbalstīta APT (Advanced Persistent Threat) grupējuma darbs vai finansiāli motivēta grupa, kas meklēja augsta līmeņa mērķi. Mēs zinām to, ka digitālā vide kļūst arvien naidīgāka un neatbilstības vai paviršas drošības cena ir augstāka nekā jebkad agrāk.

Virzoties uz priekšu, uzmanībai jāpāriet no reaktīvas ierobežošanas uz proaktīvu noturību. Komisija ir ierobežojusi uzbrukumu, taču ilgtermiņa darbs pie uzticības atjaunošanas un Europa.eu infrastruktūras stiprināšanas tikai sākas. Kiberdrošības pasaulē nav tāda jēdziena kā pabeigts produkts – ir tikai nepārtraukts atjaunināšanas, uzraudzības un pielāgošanās process nākamajiem draudiem pie apvāršņa.

Avoti:

• European Commission Official Statement on Cloud Infrastructure Incident.
• TechCrunch Reporting on EC Cyberattack Confirmation.
• Bleeping Computer Investigation into AWS Data Theft Claims.
• EU Agency for Cybersecurity (ENISA) Threat Landscape Reports.