ООН преднамеренно скрыла массированную хакерскую атаку, которая могла подвергнуть опасности множество людей
Новости о кибератаках, нацеленных на организации всех форм и размеров, выходят ежедневно, и это часто сопровождается большой критикой жертвы. Обычно проблема заключается в том, как обрабатывается инцидент, но есть также случаи, когда жертвы кибератаки осуждены за то, что они не приняли достаточно мер предосторожности, чтобы предотвратить нарушение в первую очередь. Вчера Организация Объединенных Наций, организация, ответственная, среди прочего, за сохранение хрупкого мира на нашей драгоценной планете, признала, что она стала целью хакеров. Можно с уверенностью сказать, что люди могут критиковать его не только за неспособность предотвратить нарушение, но и за то, как оно сообщило об этом.
Table of Contents
ООН перенесла “обеспеченную ресурсами” кибератаку летом 2019 года
Прежде чем мы перейдем к ошибкам ООН, мы должны сначала увидеть, что произошло. В конце концов, мы говорим об огромной организации, ответственной за огромное количество данных. Некоторые из них настолько чувствительны, что, если они попадут в чужие руки, это может привести к человеческим жертвам. К счастью, если верить ООН, хакерам не удалось получить доступ к самым чувствительным частям информации.
Согласно официальному объявлению, атака поразила «основные компоненты инфраструктуры» в офисах ООН в Вене и Женеве. Одним из оружий ООН в Женеве является Управление Верховного комиссара по правам человека (УВКПЧ), и было подтверждено, что его серверы были мишенью. К счастью, злоумышленникам удалось добраться только до среды разработки, что также хорошо, потому что УВКПЧ, вероятно, обрабатывает конфиденциальные данные, которые могут привести к преследованию активистов некоторыми режимами. Хотя они не увидели эту информацию, хакерам удалось скомпрометировать некоторые идентификаторы пользователей Active Directory, хотя ООН поспешила указать, что пароли не были украдены.
Представители ООН предпочли не вдаваться в подробности о том, что еще было скомпрометировано. Они, однако, указали, что инцидент был «серьезным», и они подразумевали, что ООН подверглась нападению со стороны изощренной группы хакеров, которые имеют много ресурсов. Хотя это вполне может иметь место, успех атаки не может быть полностью приписан навыкам хакеров. Неаккуратное управление патчами ООН также сыграло ключевую роль.
Атака прошла успешно из-за отложенного обновления
Многие волнуются, потому что вчерашнее объявление еще раз доказывает, что даже огромные организации с глобальным значением могут быть успешно взломаны. Однако поистине страшно то, что эти организации оставляют себя уязвимыми перед кибератаками.
Чтобы понять, что на самом деле произошло, мы должны перевести часы назад на февраль 2019 года, когда исследователи в области безопасности обнаружили ошибку в удаленном выполнении кода в Microsoft SharePoint, совместной системе управления документами и файлами, используемой сотнями тысяч организаций по всему миру. Ошибка могла позволить хакерам обойти аутентификацию SharePoint и выполнить код на целевом сервере. Потенциальные последствия такой атаки были огромными, поэтому уязвимость была классифицирована как критическая, ей был присвоен номер CVE (CVE-2019-0604), и работа над патчем началась немедленно. В марте Microsoft выпустила обновление для адреса CVE-2019-0604 для большинства уязвимых версий SharePoint, а 25 апреля 2019 года выпустила еще одно исправление для остальных уязвимых платформ.
ИТ-политика ООН, по-видимому, диктует, что обновления безопасности должны быть установлены в течение месяца после их выпуска, но, к сожалению, правила не соблюдаются очень строго. В июле 2019 года хакеры использовали CVE-2019-0604 на платформе ООН SharePoint и получили доступ к серверам организации.
Специалисты по кибербезопасности тратят немало времени и усилий на то, чтобы убедить пользователей и компании в том, что обновление программных приложений и операционных систем крайне важно. Мы все склонны считать, что ИТ-специалистам, работающим в организациях глобального значения, не нужно напоминать об этом, но, очевидно, это не так.
Пора всем нам узнать, что нет абсолютно никакого оправдания игнорированию обновлений безопасности. Мы также должны увидеть, как ООН справилась с этим инцидентом и извлечь уроки из своих ошибок.
ООН намеренно держала нападение в тайне
Трудно предположить, намеревалась ли ООН раскрыть информацию о вчерашнем нарушении, но дело в том, что за несколько часов до того, как официальные лица организации стояли перед камерами, агентство под названием «The New Humanitarian» (TNH) сломал новость. Отчет был результатом довольно продолжительного расследования, которое началось в ноябре 2019 года, когда Бен Паркер, старший редактор TNH, наткнулся на внутренний отчет ООН в конце августа прошлого года.
Выяснилось, что в то время ИТ-группа ООН занималась пробиванием всех дыр и расследованием произошедшего. В то время эксперты общались между собой и пытались оценить ущерб. Анонимный представитель ИТ-службы сказал TNH, что все это было «крупным крахом», и, действительно, расследование Бена Паркера показывает, что во время атаки было взломано не менее 40 серверов. Серверы, вероятно, были связаны с человеческими ресурсами и системами медицинского страхования, а это означает, что, хотя они не смогли увидеть списки правозащитников, хакерам удалось получить доступ к личным данным сотрудников ООН в Женеве и Вене.
Расследование TNH также показывает, что ООН призывала своих сотрудников сменить свои пароли, но совершенно не собиралась сообщать им, что их данные стали целью кибератаки. Единственными людьми, которые знали об этом инциденте, были ИТ-специалисты, отвечающие за наведение порядка, и люди, занимающиеся дальнейшей иерархией.
Если бы это была нормальная организация, у нее были бы неприятности. Штраф в рамках GDPR ЕС был бы огромным, и тот факт, что пострадавшие работники не были вовремя проинформированы, послужил бы солидным основанием для судебного иска. Хотя ООН не нормальная организация. Он обладает дипломатическим иммунитетом, что означает, что регулирующие органы не имеют законных прав привлекать его к ответственности, и варианты для затронутых лиц также не совсем обильны.
Единственное, что мы можем сделать на этом этапе, - это надеяться, что другие организации, как большие, так и маленькие, усвоят некоторые уроки.
