Nazwiska, adresy zamieszkania, numery telefonów czy prywatne adresy mailowe – m.in. takie dane tysięcy sędziów i prokuratorów, szkolących się w Krajowej Szkole Sądownictwa i Prokuratury wyciekły w lutym do sieci.
Według danych, podawanych przez portale branżowe, może chodzić nawet o 50 tysięcy rekordów, a instytucja nie wyklucza również wycieku numerów PESEL poszkodowanych. Choć od tego czasu minęły 2 miesiące to KSSiP dowiedziała się o tym dopiero 7 kwietnia od Komendy Głównej Policji, a osoby, których bezpośrednio dotknął ten problem, otrzymały informacje w tej sprawie dopiero kilka dni temu, tuż przed Świętami.
Wyciek potwierdza zarówno Sekurak, jak i Zaufana Trzecia Strona, która przekazała, że na „pewnym forum internetowym” baza została opublikowana już 2 kwietnia 2020 r.
Choć nie wiemy co dokładnie zawiodło, to jednak warto zweryfikować nasze strategie ochrony systemów teleinformatycznych, o czym prosto z home office opowiada Artur Madejski – Product Manager marki Fortinet w Veracomp.
Bezpieczeństwo systemów ma oczywisty wpływ na grupy i jednostki. Dziś poziom dostępu do danych, e-usług na coraz to wyższym poziomie dojrzałości pożądany jest w projektach strategicznych. Wymaga się, by systemy teleinformatyczne zapewniały bezpieczeństwo zgodnie z zasadami przetwarzania informacji wskazanymi w obowiązujących przepisach. Sposób wykazania spełniania tego kryterium nie jest jednak dostatecznie ukonstytuowany, co pozwala wdrażać rozwiązania o różnych poziomach bezpieczeństwa przetwarzania tych samych kategorii danych. Pewne elementy mogą i powinny być nadzorowane przez systemy niezależne od dostawców systemów dziedzinowych.
Takie rozwiązania również wymagają nadzoru i pewności, że ich konfiguracja zawsze jest rewidowana w przypadku zmian czy aktualizacji systemów informatycznych. Podstawowym elementem są systemy zbierające i korelujące dane z wielu źródeł, dające szeroki obraz w kontekście zarówno cyberbezpieczeństwa, jak i operacji sieciowych. Często posiadają mechanizmy uczenia maszynowego, co dodatkowo usprawnia wykrywanie i zarządzanie anomaliami. Najlepszymi w tym obszarze są rozwiązania typu SIEM. Należy jednak posiadać odpowiednie kompetencje, aby takie rozwiązania ujarzmić, odpowiednio wytrenować, a następnie weryfikować aktualność ich konfiguracji w przypadku zmian środowiska teleinformatycznego.
Nie zawsze jednak stosowanie SIEM jest możliwe czy uzasadnione. Kosztem uczenia maszynowego i szerokiego zbierania informacji można zastosować rozwiązania skupiające informacje jedynie o komunikacji sieciowej w kontekście cyberzagrożeń i połączeń między segmentami sieci. To również daje dużą widoczność i jednocześnie ułatwia odnajdywanie danych historycznych o komunikacji do serwerów w sieci internet oraz ilości i rodzaju danych do nich wysłanych. Nie obędzie się bez deszyfracji ruchu, która umożliwia dostrzeżenie zawartości tej komunikacji, a nie tylko to, że nawiązała się rozmowa trwająca dwie godziny, w której wypowiedziano trzy tysiące dwieście słów, bo w takiej analogii można opisać informacje, które otrzymujemy bez deszyfrowania ruchu SSL. Dodatkowo popularne rozwiązania do ochrony w punkcie styku dają możliwość realizowania mechanizmów Data Leak Protection czyli ochrony przed wyciekiem informacji na kilku poziomach. Skuteczne w tym przypadku jest wykrywanie numerów PESEL, czy adresów e-mail powyżej określonej ilości – nawet w dokumentach – czy blokowanie skompresowanych archiwów z hasłem, które nie pozwalają na wgląd w przesyłane dane. To także domena urządzeń do ochrony serwerów poczty elektronicznej uznanych producentów. To tylko jeden z wielu mechanizmów pozwalających na zapewnienie bezpieczeństwa komunikacji elektronicznej.
Niemniej krytyczne jest zapewnienie bezpiecznego uwierzytelniania pracowników do pracy w systemach „naziemnych” i tych chmurowych, zapewniając jak najmniejszy stopień zaufania. Rozsądnym jest centralne zarządzanie uwierzytelnianiem, co również zapewnia bardzo precyzyjne narzędzie dla IOD, który w kilka chwil blokuje dostęp pracowników po zakończeniu stosunku pracy lub selektywnie przydzielając im uprawnienia do systemów. Warto, by użytkownik logował się jednorazowo do bezpiecznej, autoryzowanej stacji roboczej i automatycznie uzyskiwał dostęp do wymaganych aplikacji i systemów (tzw. SSO). To spowoduje że nie będzie świadom prawdziwych poświadczeń do systemów dziedzinowych, dzięki czemu skutecznie minimalizuje ryzyko wycieku danych np. z systemów pracy grupowej. Zaś zastosowanie certyfikatów CA otwiera kolejne możliwości kształtowania polityki dostępu do zasobów tylko przez urządzenia dopuszczone przez administratora.
