Niespodziewane skutki wycieków danych

Nowości

2017-04-03

W ubiegłych tygodniach media obiegła wiadomość o wycieknięciu ogromnej porcji informacji z systemów jednego z międzynarodowych portów lotniczych w USA. Ze względu na zwykły błąd ludzki ujawniono ponad 760 GB danych pochodzących z online’owego backupu systemu IT. Analiza tego wycieku pokazała, że poza tradycyjnie spodziewanymi treściami o znaczeniu strategicznym dla przedsiębiorstwa (kontrakty, umowy, bazy klientów, ustalenia handlowe, planowanie rozwoju etc.etc.) kopia zapasowa zawierała także arkusze z zapisanymi hasłami do systemów wewnętrznych.

Okazuje się, że jest to nagminna praktyka w złożonych systemach IT. Elementy sieci, bazy danych czy też inne newralgiczne zasoby ze względu na swoją naturę i konstrukcję, bardzo często posługują się zwykłymi hasłami statycznymi dla kontroli dostępu użytkowników uprzywilejowanych. Takie hasła rozproszone po całym systemie trudno jest zmieniać ręcznie, więc najczęściej pozostają takie same od "początku życia" danego komponentu, aż do jego “śmierci technologicznej”. W najgorszym wariancie takie same hasła używane są w całych klasach urządzeń, np. routerach lub przełącznikach sieciowych.

Przekłada się to na ogromne trudności zarządzania dostępem, bo ujawnienie (umyślne lub wynikające z błędu ludzkiego) hasła osobie postronnej bardzo trudno jest naprawić. Również działania awaryjne, na wypadek powstania i obsługi sytuacji krytycznej, są bardzo utrudnione, bo hasłami trzeba podzielić się z zewnętrznymi podwykonawcami, a potem zmienić w całym systemie, jeśli nie chcemy aby mieli doń niekontrolowane już po zrealizowaniu swojego zadania.

Pomyślmy co teraz musi się dziać na Stewart International Airport? Paniczne zmienianie haseł, bo już wiadomo, że zna je cały świat. A jeśli przestępcy ujawnili wyciek dopiero po zainstalowaniu w systemie lotniska swojego oprogramowania i otwarciu dla siebie tylnych furtek? Zmiana haseł już nic nie da. Należałoby teraz odbudować cały system od zera, co z reguły nie jest wykonalne ze względów finansowych i czasowych.

Tego typu zdarzeniom można zapobiegać stosując rozwiązania klasy Privileged Access Management. Wheel Fudo PAM jest w stanie nie tylko przechowywać w bezpieczny sposób hasła dostępowe do krytycznych elementów infrastruktury, ale także pilnować ich regularnej zmiany na bardzo trudne do złamania losowe ciągi znaków oraz precyzyjnie dawać dostęp do systemu administratorom, serwisantom etc. jednocześnie nie ujawniając rzeczywistych haseł. Dodatkowo, dzięki zastosowaniu przezroczystego trybu pracy, dostęp użytkownika może być przydzielany w oparciu o mocny system uwierzytelniania jak Wheel Cerb AS z hasłami jednorazowymi. I to pomimo, że same zarządzane urządzenia wspierają tylko hasła statyczne.

PS.

W czasie pisania tego artykułu jeszcze jeden, podobny przypadek wycieku danych ujrzał światło dzienne. Tym razem sprawa jest poważniejsza, bo dotyczy personelu wojskowego i procedur związanych z uzyskiwaniem dostępu do poufnych informacji. Bardzo wrażliwe informacje, które nigdy nie powinny wypłynąć. Warto przemyśleć bezpieczeństwo swojego systemu IT, sposobu wykonywania backupów oraz zarządzania hasłami kont uprzywilejowanych.

Autorzy

Mariusz Wołoszyn

Machine Learning Engineer at Wheel Systems

Michał Jarski

Vice President EMEA & Asia at Wheel Systems

Formularz kontaktowy

Interesują Cię nasze produkty? Skontaktuj się z nami