Narušení noční můra bezpečnostního manažera

Zjištění, že osobní informace jsou viditelné na internetu, vyvolá ve státní agentuře paniku. Nakonec se to stalo....


Zjištění, že osobní informace jsou viditelné na internetu, vyvolá ve státní
agentuře paniku.

Nakonec se to stalo. Narazili jsme na porušení bezpečnosti, které by mohlo mít
pro naší státní agenturu kruté následky.
V pátek jsem si balila věci a chystala se k odchodu, když do mé kanceláře vešel
webmaster a zavřel za sebou dveře. Bylo pro něj neobvyklé, že byl v úřadě v tak
pozdní dobu, a vypadal obzvláště nervózně. Sundala jsem si tedy kabát, položila
svoji aktovku a sedla si. Odmítnul židli, kterou jsem mu nabídla.
"Dobrá, co se děje?" zeptala jsem se.
"Totiž, ehm, myslím, že máme problém s jedním z našich internetových webů, a
bojím se vám o něm říci. Myslím ale, že budu muset. Už jsem problém odstranil,
měla byste o něm nicméně vědět, protože jste šéfová informační bezpečnosti,"
začal trochu nesouvisle. Zvedla jsem ruku, jako bych chtěla říct "Stop", a on
se sesul do křesla se slzami v očích.
Už jsem si ve své kariéře poradila se spoustou bezpečnostních incidentů a
nebyla jsem schopná si představit, co by mohlo být tak strašného, že se mi o
tom bál říct. Usmála jsem se a řekla mu, ať se zhluboka nadechne a začne od
začátku. Řekl mi tohle: Jedna zaměstnankyně prováděla v Googlu vyhledávání
podle jména klienta agentury a nahoře se objevila URL adresáře agentury.
Kliknula na odkaz a hle stránka, která měla být podle předpokladů chráněna
heslem, se objevila včetně čísla sociálního pojištění zaměstnance i přesto, že
zaměstnankyně nebyla systémem požádána, aby se autorizovala nebo aby použila
heslo. Čísla sociálního pojištění patří mezi informace "osobní identifikace",
jak je definováno zákonem o přenositelnosti pojištění (Health Insurance
Portability and Accountability Act, HIPAA), a my jsme povinni jej dodržovat.
Zaměstnankyně okamžitě zavolala webmasterovi, jenž začal kontrolovat strukturu
souboru, přesouvat soubory a měnit uživatelská oprávnění, přičemž za celou tu
dobu úplně zpanikařil.

První šok
To bylo ohromující. Teď bylo na mě, abych se zhluboka nadechla. Chtěla jsem
vědět, proč ukládáme klientská data na externím webovém serveru. Ten je přece
vystaven všem možným rizikům. Odpověď zněla: "Vždycky jsme to takhle dělali."
Znova jsem se zhluboka nadechla a zamyslela se nad některými fakty. Náš
nezkušený webmaster je zodpovědný pouze za obsah, zatímco správa webu je
oursourcována na webmastery na celostátní úrovni. Naše weby jsou hostovány
státem v jeho datovém centru. S tolika zúčastněnými není žádným překvapením, že
se mohla stát nepříjemnost tohoto druhu.
Než webmaster odešel, řekla jsem mu: "Tento víkend se o tom nesmíte nikde
zmiňovat, dokonce ani při náhodné konverzaci, pokud nechcete naši agenturu
vidět na titulní stránce pondělních novin rozuměl jste?"
Nebylo nic, co by se přes víkend dalo dělat, a bezprostřední chyba v
konfiguraci byla už opravena. Potřebovala jsem si promyslet, jaké kroky mám
udělat. Věděla jsem, že zákon uvádí, že o "neautorizovaném odkrytí" je třeba
včasným způsobem informovat a že všechny osoby, jejichž osobní informace jsou
kompromitovány, s tím musejí být seznámeny. A už před časem jsem vyvinula
politiky a procedury týkající se reakcí na incidenty, takže tím jsem si hlavu
lámat nemusela. Nicméně politické šlápnutí vedle by pro naši agenturu bylo
příliš bolestivé.
Cestou ze dveří jsem vytočila číslo mobilu svého šéfa, avšak bez úspěchu. To
bylo vlastně dobře, nebyla jsem ještě na rozhovor s ním připravena. Přes víkend
jsem toho moc nenaspala. Pokoušela jsem se rozptýlit rodinnými aktivitami,
neproběhla však ani minuta, abych si na incident nevzpomněla.

Blues pondělního rána
V pondělí jsem svedla boj s městskou dopravou, abych se do kanceláře dostala
brzy. Nebyla jsem schopna dostat se přes víkend do kontaktu se svým šéfem, ale
ani jsem se o to nijak zvlášť nepokoušela. Nyní jsem vešla do jeho kanceláře a
jemně zaklepala na dveře.
Následně jsem skutečně vzbudila jeho zájem, když jsem mu řekla, že v pátek
večer se do centra mé pozornosti dostal jistý bezpečnostní incident a
potřebovala jsem jej o něm informovat dříve, než se to doslechne od někoho
jiného. Řekla jsem mu o všech detailech, jež jsem v té chvíli znala, a
vysvětlila jsem, že v tomto bodě bych postupovala podle příslušné politiky a
procedury pro provádění šetření. Musel však pochopit, že pokud se výsledky mého
šetření ukáží jako nepříznivé, podle HIPAA a státního práva by se od nás
vyžadovalo, abychom informovali všechny naše klienty o tom, že jejich osobní
informace mohly být kompromitovány.
Poté, co nepříjemnou zprávu vstřebal, zeptala jsem se ho, kolik toho ví o
designu webu. Odpověď: velmi málo. (Můj nadřízený má znalosti a zkušenosti v
oblasti softwarového vývoje a programování, nebyla jsem však překvapená, že o
architektuře tohoto webu toho mnoho nevěděl.) Řekla jsem mu, že by web měl být
navržen znova a mělo by být přidáno několik vrstev zabezpečení.
Přinejmenším bychom měli zajistit, aby informace osobní identifikace byly
uloženy v databázi za firewallem, nikoliv na veřejném webovém serveru. Potom
jsme vyjádřili politování nad tím, že jsme ve veřejném sektoru oba relativními
nováčky a jsme náchylní spoléhat se na domněnky o tom, jak se věci mají.
Například jsme oba předpokládali, že státem provozovaný web byl měl být
vybudován dobře.

Pohled do budoucna
V této chvíli jsem právě uprostřed šetření. Klíčem bude určit, zda došlo k
nějakým "neautorizovaným" odkrytím dat. Zaměstnankyně, která na problém
narazila, je pro přístup k datům v adresáři autorizována, takže je zde šance,
že k žádnému neautorizovanému odkrytí třeba vůbec nedošlo. Právě nyní
prohledávám logy webu za období prakticky celého roku a provádím identifikaci
zdrojových IP adres, z nichž byly realizovány přístupy k různým URL serveru.
Rovněž jsem web importovala na jeden z našich lokálních serverů, abych provedla
bezpečnostní hodnocení. Doufám, že neobjevím nic, co bych musela hlásit.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.