Ko razmišljamo, beremo ali zasledimo informacijo, da se je kje dogodil vdor v informacijski sistem skoraj vedno pomislimo na to, da se to lahko zgodi marsikomu, nikoli in nikakor pa nam ali naši firmi. Tako mislimo mi in tako mislijo tudi na ostalih družbah – tudi na tistih ki so bile žrtve vdora.
Zakaj o tem?
Prejšnji teden sem govoril s kolegom, ki mi je povedal, da je bila njihova firma žrtev vdora. Sicer ni bilo večje vsebinske škode, ker so vdor hitro zaznali in izvajanje prekinili. Vedno pa so takšne aktivnosti povezane tudi z širšim razmišljanjem glede tehnične varnosti. In spet pozabimo na organizacijsko.
Kako se je vdor zgodil?
Informacijski sistem, ki je bil žrtev vdora je sicer tehnično dobro upravljanj. Ima svoje uporabnike, ki se redno usposabljajo in izobražujejo s področja informacijske varnosti. Redno in ustrezno uporabljajo varnostne rešitve – skratka vse je kot mora biti. Tudi zunanji uporabniki imajo podpisane ustrezne dogovore, so usposobljeni za dostope in striktno jih izvajajo na način kot je določen v medsebojnem sporazumu.
V petek je bil v informacijski sistem izveden nepooblaščen dostop. Dostop se je izvedel preko uporabniškega računa pogodbenega zunanjega sodelavca. Ko je bila vzpostavljena VPN povezava do informacijskega sistema se je od tam nadaljeval napad na AD strežnik, ki je bil izveden uspešno. V tem trenutku je bil nepooblaščen dostop tudi zaznan in zaustavljen.
Sreča v nesreči je bila, da je bil napad izveden na testni AD strežnik, ki se je ravno pripravljal za namene testiranja delovanja novih funkcionalnosti in integracij z ostalimi storitvami. Posledično še ni imel vseh potrebnih varnostnih posodobitev in je omogočal uspešno izvedbo napada.
Lekcija, ki se je lahko naučimo
Verjetno bi se kaj podobnega lahko zgodilo tudi v našem informacijskem sistemu. Mogoče najbolj učinkovit mehanizem za preprečevanje tovrstnih napadov je izvajanje rednih pregledov uporabniških računov. Te je potrebno izvajati tako na ravni internih zaposlenih, kot tudi začasnega osebja ter zunanjih izvajalcev.
Ali to delamo?
Delamo. Občasno. Verjetno bi bilo potrebno izvajati takšne preglede pogosteje. Redno. Sprotno. Tako kot se izvajajo tudi poizkusi nepooblaščenih dostopov. Redno. Sprotno.
