Autor fotografie: Pixabay/geralt|Popisek: Ilustrační foto
Kauza Panama Papers představuje největší informační únik v historii.
Již samotný objem zcizených dat, tedy 2,6 terabajtů, působí impozantně, ale opravdové rozměry pochopíme až tehdy, když elektronická data převedeme na listinnou podobu. I při velmi nadsazených odhadech jednoho megabajtu na každou tištěnou stránku ve formátu A4 totiž Panama Papers odpovídá 2 600 000 stranám.
Čeká svět politické a ekonomické zemětřesení? Stovky novinářů odhalily miliardové daňové úniky
Budeme-li uvažovat tisk na běžný kancelářský papír s gramáží 80 g/m2, tak celková hmotnost papírové verze představuje 13 tun. Je přitom velmi pravděpodobné, že v nedigitálním světě by si krádeže takového objemu někdo všiml. V případě kybernetickému zločinu je to ale jinak a vše může proběhnout nepozorovaně.
Jak se to stalo?
Důležité je pochopit, jak k této největší krádeži dat v historii ve skutečnosti došlo. Jenže to vlastně nikdo – až na zapojené hackery – přesně neví. Můžeme ale předpokládat, že vzhledem k rozsahu kauzy nešlo o triviální metody spojené s odhalením jednoho hesla nebo se selháním lidského faktoru zneužívajícím otevření nakažené e-mailové přílohy. S největší pravděpodobností museli počítačoví zločinci infiltrovat informační architekturu advokátní kanceláře Mossack Fonseca a odhalit způsob, jak se k důležitým serverům dostat a citlivá data získat.
Předpokladem úspěšného útoku tohoto typu jsou informace o tom, kde a jak jsou data uložena, jak jsou využívána a jak oddělit zrno od plev. Jinými slovy, nešlo o akci začátečníků ani o náhodný únik. Jenže v tom je ten příslovečný čert, mnohé organizace ne a ne pochopit, jak mají k ochraně svých dat přistupovat. Svědčí o tom i alibistické reakce kanceláře, která ve svých prohlášeních hovoří o neoprávněných útocích, o hloubkové kontrole i přijetí dostatečných opatření pro zabránění dalším únikům. Skoro to vypadá, jako kdyby reakce vycházela z článku s názvem What you sound like after a data breach. Jenže si asi nikdo v této kanceláři neuvědomil, že bezpečnostní portál Naked Security text o tvrzeních následujících bezpečnostní incidenty myslel ironicky.
Malé chyby vedou k velkým problémům
Aby ale nedošlo k omylu – i získání přístupových údajů k jedné jediné emailové schránce může být prvním krokem k úspěšnému útoku. Nesmíme zapomenout, že díky interní komunikaci mají útočníci mnohem větší možnosti, například mohou „legitimně“ požádat IT oddělení o nová hesla do dalších systémů.
Mít přístup k celému poštovnímu serveru, a tedy i k veškeré poště, je ovšem mnohem zajímavější – určitě se v některém e-mailu tajemství užitečná pro další útoky skrývat budou. Nicméně má-li organizace stanovená bezpečnostní pravidla i politiky a definovaný přístup k zajištění ochrany dat i systémů, je mnohem větší šance, že si těchto nezákonných aktivit někdo všimne a včas přijme potřebná opatření. Mělo by proto být samozřejmostí o bezpečnostních rizicích se svými partnery a zákazníky včas mluvit. Jak na to najdete například v tomto článku.
Autor: Paul Ducklin, Senior Security Avisor ve společnosti Sophos