FN skjulte bevidst et massivt hackeangreb, der kunne have bragt en masse mennesker i fare
Nyheder om cyberattacks rettet mod organisationer i alle former og størrelser kommer ud på daglig basis, og det ledsages ofte af en masse kritik for offeret. Normalt ligger problemet i den måde, hændelsen håndteres på, men der er også tilfælde, hvor ofre for cyberangreb er fordømt for ikke at have taget tilstrækkelige forholdsregler til at forhindre overtrædelsen i første omgang. I går indrømmede De Forenede Nationer, den organisation, der er ansvarlig for blandt andet at bevare den skrøbelige fred på vores dyrebare planet, at den er blevet målrettet af hackere. Det er sikkert at sige, at folk kan kritisere det ikke kun for ikke at forhindre overtrædelsen, men også for den måde, de rapporterede om det.
Table of Contents
FN led et “godt ressourceret” cyberattack i sommeren 2019
Før vi kommer til FNs fejl, skal vi først se, hvad der skete. Når alt kommer til alt taler vi om en enorm organisation, der er ansvarlig for en enorm mængde data. Noget af det er så følsomt, at hvis det falder i de forkerte hænder, kan det føre til tab af menneskeliv. Heldigvis, hvis man skal tro på FN, fik hackerne ikke adgang til de mest følsomme informationsbits.
I henhold til den officielle meddelelse ramte angrebet "grundlæggende infrastrukturkomponenter" på FNs kontorer i Wien og Genève. En af FN's våben i Genève er kontoret for højkommissæren for menneskerettigheder (OHCHR), og det blev bekræftet, at dets servere var målrettet. Heldigvis lykkedes det kun angribere at komme til udviklingsmiljøet, hvilket er lige så godt, fordi OHCHR sandsynligvis håndterer følsomme data, der kan føre til forfølgelse af aktivister efter visse regimer. Mens de ikke fik at se disse oplysninger, formåede hackerne at gå på kompromis med nogle Active Directory-bruger-id'er, skønt FN var hurtig til at påpege, at der ikke blev stjålet nogen adgangskoder.
FN-embedsmænd foretrak ikke at gå for mange detaljer om, hvad der ellers blev kompromitteret. De påpegede dog, at hændelsen var "alvorlig", og de antydede, at FN blev angrebet af en sofistikeret gruppe af hackere, der har masser af ressourcer. Selvom dette meget godt kan være tilfældet, kan angrebets succes ikke helt tilskrives hackernes evner. FNs slurvede patch-håndtering spillede også en nøglerolle.
Angrebet var vellykket på grund af en forsinket opdatering
Mange mennesker er bekymrede, fordi gårsdagens meddelelse endnu en gang viser, at selv enorme organisationer med global betydning kan blive hacket med succes. Den virkelig skræmmende bit er imidlertid, at disse organisationer forlader sig sårbare over for cyberangreb.
For at forstå, hvad der virkelig skete, skal vi spole uret tilbage til februar 2019, da sikkerhedsforskere fandt en fjern kodeudførelsesfejl i Microsoft SharePoint, et samarbejdsdokument og filadministrationssystem, der bruges af hundreder af tusinder af organisationer over hele verden. Fejlen kan give hackere mulighed for at omgå SharePoint's godkendelse og udføre kode på målets server. De potentielle konsekvenser af et sådant angreb var enorme, og derfor blev sårbarheden klassificeret som kritisk, det fik et CVE-nummer (CVE-2019-0604), og arbejdet med en patch startede straks. I marts udsendte Microsoft en opdatering til adressering af CVE-2019-0604 på de fleste af de berørte SharePoint-versioner, og den 25. april 2019 frigav den en anden opdatering til resten af de sårbare platforme.
FNs IT-politik dikterer tilsyneladende, at sikkerhedsopdateringer skal installeres inden for en måned efter deres frigivelse, men desværre følges reglerne ikke meget strengt. I juli 2019 udnyttede hackerne CVE-2019-0604 på FNs SharePoint-platform og fik adgang til organisationens servere.
Cybersecurity-specialister investerer ret meget tid og kræfter i at overbevise brugere og virksomheder om, at det er ekstremt vigtigt at holde softwareprogrammer og operativsystemer ajour. Vi har alle en tendens til at antage, at it-eksperterne, der arbejder for organisationer af global betydning, ikke behøver at blive mindet om dette, men tilsyneladende er dette ikke tilfældet.
Det er på høje tid, at vi alle lærer, at der absolut ikke er nogen undskyldning for at ignorere sikkerhedsopdateringer. Vi må også se, hvordan FN håndterede hændelsen og lære af dens fejl.
FN holdt bevidst angrebet under indpakning
Det er vanskeligt at spekulere i, om FN havde til hensigt at afsløre overtrædelsen i går, men kendsgerningen er, få timer før organisationens embedsmænd stod foran kameraerne, et agentur med navnet The New Humanitarian (TNH) ) brød nyheden. Rapporten var resultatet af en temmelig lang undersøgelse, der startede i november 2019, da Ben Parker, seniorredaktør for TNH, snublede over en intern FN-rapport fra slutningen af august sidste år.
Det afslørede, at dengang FN's IT-team var midt i at tilslutte alle huller og undersøge, hvad der var sket. På det tidspunkt kommunikerede eksperterne hinanden og forsøgte at vurdere skaden. En anonym it-embedsmand fortalte TNH, at det hele var en "stor sammenbrud", og faktisk viser Ben Parkers undersøgelse, at ikke mindre end 40 servere blev kompromitteret under angrebet. Serverne var sandsynligvis knyttet til menneskelige ressourcer og sundhedsforsikringssystemer, hvilket betyder, at mens de ikke fik at se lister over menneskerettighedsaktivister, lykkedes det hackerne at få adgang til de personlige oplysninger om FN's personale i Genève og Wien.
TNH's undersøgelse viser også, at FN opfordrede sine ansatte til at ændre deres adgangskoder, men havde absolut ingen intentioner om at fortælle dem, at deres data havde været målet for et cyberangreb. De eneste, der vidste om hændelsen, var it-specialisterne, der var ansvarlige for at rydde op i rodet, og folket længere op i hierarkiet.
Hvis dette var en normal organisation, ville det have været i alle slags problemer. Bøden under EU's GDPR ville have været massiv, og det faktum, at berørte ansatte ikke blev informeret i tide, ville have tjent som et solidt grundlag for en retssag. FN er dog ikke en normal organisation. Det har diplomatisk immunitet, hvilket betyder, at regulerende myndigheder ikke har de lovlige rettigheder til at holde det ansvarligt, og mulighederne for berørte personer er heller ikke nøjagtigt rigelige.
Det eneste, vi kan gøre på dette tidspunkt, er håb om, at andre organisationer, både store og små, lærer nogle lektioner.
