Korzystasz z zewnętrznej infrastruktury IT? Koniecznie przeczytaj.

Beata Marek Bezpieczeństwo teleinformatyczne, Biznes, Cloud Computing, Cyberzagrożenia i cyberprzestępczość, E-commerce, Startup IT Leave a Comment

O tym, że nie wolno uzależnić się od jednego dostawcy rozwiązań informatycznych, w tym zwłaszcza dostarczającego architekturę (serwery) pod Twój biznes pisałam i mówiłam na konferencjach wiele razy. Teraz mamy żywy przykład na to, że nie jest to czcze gadanie.

Jak jedna osoba może zniszczyć Twój e-biznes w krótkim czasie?

Zbudowanie własnej infrastruktury IT i odpowiednie zarządzanie nią (klimatyzacja, energia elektryczna, wdrożenie zabezpieczeń etc.) to wydatek, który nie idzie w parze ze skalowalnością i optymalizacją budżetu. Dlatego małe firmy, startupy, a nawet większe firmy decydują się na dzierżawę powierzchni serwerowej.

To nic złego. Problem jednak w tym, że usługi tego typu są źle wybierane co w konsekwencji powoduje, że źle się nimi zarządza. Przedsiębiorca/Zarząd/Manager czy inna osoba decyzyjna w firmie, w momencie wybierania dostawcy, często w ogóle nie uwzględnia aspektów związanych z bezpieczeństwem IT czy ochroną danych osobowych i prawidłowego utrzymania procesów biznesowych (utrzymania ciągłości działania swojego biznesu!). Liczą się tylko koszty hostingu/dzierżawy/usług i parametry jakie otrzyma w pakiecie. Takie ładne tabelki czy zestawienia tworzone przez handlowców (oczywiście nie mam nic do działów sprzedaży).

A to jest błąd. Duży błąd. Nie rób tak bo to Cię może kosztować zniszczenie Twojego e-biznesu i to w relatywnie krótkim czasie.

Przekonała się o tym firma Code Spaces, która zajmowała się udostępnianiem repozytoriów kodu i narzędzi do współpracy grup progamistów.

Firma wybrała usługi dużego, znanego dostawcy – Amazon. Biznes rozwijał się świetnie i firma zdobywała nowych klientów. Do czasu. 17 czerwca 2014r. w ich stronę został wymierzony DDoS (o tym czym jest DDoS i jak wygląda w praktyce możesz przeczytać m.in. tutaj). DDoS się skończył i wydawało się, że wszystko będzie ok. Jednak niedługo potem włamywacz uzyskał dostęp do panelu zarządzania zasobami, na których utrzymywane były usługi (czyli do panelu admina) i pozostawił tam wiadomości typu szantaż. Przekaz był jasny: jeśli nie zapłacicie zniszczymy wam firmę.

Co się dalej stało? Właściciele zaczęli badać w jaki sposób na ich pokład dostał się intruz. Doszli do wniosku, że włamywacz nie miał ich prywatnych kluczy. Zdecydowano, że zostaną zmienione hasła dostępowe. Cyberprzestępca jednak to przewidział. Umieścił odpowiednie algorytmy i w momencie gdy firma próbowała odzyskać pełną kontrolę nad kontem zaczęły one wykonywać swoją pracę polegającą na usuwaniu wszystkich danych, kopii zapasowych, dosłownie wszystkiego – usunięto m.in. zrzuty EBS, instancje działające na bazie EBS, wiadra S3, wszystkie AMI.

Jak napisali sami właściciele (więcej tutaj):

Podsumowując, większość naszych danych, kopii zapasowych, konfiguracji maszyn i kopii zapasowych poza siedzibą zostały częściowo lub całkowicie usunięte.

W ciągu 12 godzin zniszczono ich ciężką, wieloletnią pracę.

Czy można było tego uniknąć?

Ataku nie da się uniknąć! Trzeba być na niego przygotowanym!


To znaczy, że powinieneś ograniczyć ryzyko najbardziej jak to możliwe. Jak to zrobić?

W momencie gdy tworzysz e-biznes bądź przenosisz zasoby/dane swojej firmy do chmury (zewnętrznego dostawcy) pomocne będzie dokonanie analizy GRC, czyli warto odpowiedzieć sobie na pytania z poniżej określonych obszarów:

Analiza GRC

W praktyce powinieneś zatem określić jakie są Twoje wymagania dla utrzymania ciągłości działania biznesu i jak dostawca może je spełnić, a jak Ty. To, że powierzasz dane dużemu dostawcy nie zwalania Ciebie z obowiązku zachowania dbałości o bezpieczeństwo danych!

Fundamentalny wręcz obowiązek to tworzenie kopii zapasowych/kopii bezpieczeństwa. Problem w tym, że nie skorzystamy z nich jeśli włamywacz przejmie kontrolę nad panelem admina i je usunie. Rozwiązaniem w tej sytuacji może być tworzenie kopii w różnych miejscach/na różnych serwerach i zróżnicowanie dostępu do tych miejsc. Jak widać właściciele zaatakowanej firmy częściowe zasoby mieli zgromadzone w innym miejscu, jednak nie były to na tyle istotne zasoby by można było przywrócić działanie usługi.

Weź to proszę pod uwagę

Bezpieczeństwo danych jest kluczowe już nie tylko do tego by utrzymać SLA na odpowidenim poziomie, ale by Twój e-biznes mógł istnieć!. Jeśli nie przeanalizujesz ryzyka i nie wdrożysz odpowiednich procedur scenariusz Code Spaces może się powtórzyć w Twojej firmie.

Autor grafiki promującej wpis: William Szilveszter