FN gjemte bevisst et massivt hackeangrep som kan ha satt mange mennesker i fare
Nyheter om cyberattacks rettet mot organisasjoner i alle former og størrelser kommer ut på daglig basis, og det er ofte ledsaget av mye kritikk for offeret. Vanligvis ligger problemet i måten hendelsen håndteres, men det er også tilfeller der cyberattack-ofre blir dømt for ikke å ha tatt tilstrekkelige forholdsregler for å forhindre at bruddet skjer i utgangspunktet. I går innrømmet FN, organisasjonen som er ansvarlig for blant annet å bevare den skjøre freden på vår dyrebare planet, at den er blitt målrettet av hackere. Det er trygt å si at folk kan kritisere det, ikke bare for å unnlate å forhindre bruddet, men også for måten de rapporterte det på.
Table of Contents
FN led en “godt ressurs” cyberattack sommeren 2019
Før vi kommer til FNs feil, må vi først se hva som skjedde. Vi snakker tross alt om en enorm organisasjon som er ansvarlig for en enorm mengde data. Noe av det er så følsomt at hvis det faller i gale hender, kan det føre til tap av menneskeliv. Heldigvis, hvis FN skal bli trodd, klarte ikke hackerne å få tilgang til de mest følsomme bitene med informasjon.
I følge den offisielle kunngjøringen rammet angrepet "kjernen infrastrukturkomponenter" i FNs kontorer i Wien og Genève. En av FNs våpen i Genève er Office of the High Commissioner for Human Rights (OHCHR), og det ble bekreftet at serverne var målrettet. Heldigvis klarte angriperne bare å komme seg til utviklingsmiljøet, noe som er like bra fordi OHCHR sannsynligvis håndterer sensitive data som kan føre til forfølgelse av aktivister av visse regimer. Mens de ikke fikk se den informasjonen, klarte hackerne å gå på akkord med noen Active Directory-bruker-ID-er, selv om FN var raskt ute med å påpeke at det ikke ble stjålet noen passord.
FN-tjenestemenn foretrakk å ikke gå inn for mange detaljer om hva annet som ble kompromittert. De påpekte imidlertid at hendelsen var "alvorlig", og de antydet at FN ble angrepet av en sofistikert gruppe hackere som har mange ressurser. Selv om dette veldig godt kan være tilfelle, kan ikke angrepet suksess tilskrives hackernes ferdigheter. FNs slurvete patch-behandling spilte også en nøkkelrolle.
Angrepet var vellykket på grunn av en forsinket oppdatering
Mange mennesker er bekymret fordi gårsdagens kunngjøring igjen viser at selv enorme organisasjoner med global betydning kan bli hacket vellykket. Den virkelig skremmende biten er imidlertid at disse organisasjonene forlater seg sårbare for nettangrep.
For å forstå hva som egentlig skjedde, må vi spole tilbake klokken tilbake til februar 2019 da sikkerhetsforskere fant en ekstern kodekjøringsfeil i Microsoft SharePoint, et samarbeidsdokument og filhåndteringssystem som brukes av hundretusener av organisasjoner over hele verden. Feilen kan tillate hackere å omgå SharePoint-godkjenning og utføre kode på målets server. De potensielle konsekvensene av et slikt angrep var enorme, og det er grunnen til at sårbarheten ble klassifisert som kritisk, den fikk et CVE-nummer (CVE-2019-0604), og arbeidet med en oppdatering startet umiddelbart. I mars utstedte Microsoft en oppdatering for å adressere CVE-2019-0604 på de fleste av de berørte SharePoint-versjonene, og den 25. april 2019 ga den ut en ny oppdatering for resten av de sårbare plattformene.
FNs IT-politikk tilsier tilsynelatende at sikkerhetsoppdateringer må installeres innen en måned etter utgivelsen, men dessverre blir ikke reglene fulgt så strengt. I juli 2019 utnyttet hackerne CVE-2019-0604 på FNs SharePoint-plattform og fikk tilgang til organisasjonens servere.
Spesialister innen cybersikkerhet investerer ganske mye tid og krefter i å overbevise brukere og bedrifter om at det er ekstremt viktig å holde programvare og operativsystemer oppdatert. Vi har alle en tendens til å anta at IT-ekspertene som jobber for organisasjoner av global betydning, ikke trenger å bli påminnet om dette, men tilsynelatende er det ikke tilfelle.
Det er på høy tid at vi alle lærer at det absolutt ikke er noen unnskyldning for å ignorere sikkerhetsoppdateringer. Vi må også se hvordan FN håndterte hendelsen og lære av sine feil.
FN holdt bevisst angrepet under innpakning
Det er vanskelig å spekulere i om FN hadde til hensikt å avsløre bruddet i går, men faktum er at noen timer før organisasjonens tjenestemenn sto foran kameraene, et byrå med navnet The New Humanitarian (TNH) brøt nyheten. Rapporten var resultatet av en ganske lang etterforskning, som startet i november 2019 da Ben Parker, seniorredaktør for TNH, snublet over en intern FN-rapport fra slutten av august i fjor.
Den avslørte at den gangen var FNs IT-team midt i å plugge inn alle hullene og undersøke hva som hadde skjedd. På den tiden kommuniserte ekspertene seg imellom og prøvde å vurdere skadene. En anonym IT-tjenestemann sa til TNH at det hele var en "stor sammenbrudd", og faktisk viser Ben Parkers etterforskning at ikke færre enn 40 servere ble kompromittert under angrepet. Serverne var sannsynligvis knyttet til menneskelige ressurser og helseforsikringssystemer, noe som betyr at mens de ikke fikk se lister over menneskerettighetsaktivister, klarte hackerne å få tilgang til personopplysningene til FNs stab i Genève og Wien.
TNHs undersøkelse viser også at FN oppfordret sine ansatte til å endre passord, men hadde absolutt ingen intensjoner om å fortelle dem at dataene deres hadde vært målet for et cyberangrep. De eneste som visste om hendelsen var IT-spesialistene som hadde ansvar for å rydde opp i rotet og folket lenger opp i hierarkiet.
Hvis dette var en normal organisasjon, ville det vært i alle slags trøbbel. Boten under EUs GDPR ville vært massiv, og det faktum at berørte ansatte ikke ble informert i tide ville ha tjent som et solid grunnlag for et søksmål. FN er imidlertid ikke en normal organisasjon. Det har diplomatisk immunitet, noe som betyr at regulatorer ikke har de juridiske rettighetene til å holde det ansvarlig, og alternativene for berørte personer er heller ikke akkurat rikelig.
Det eneste vi kan gjøre på dette tidspunktet er håp om at andre organisasjoner, både store og små, lærer noen leksjoner.
