FN dolt medvetet en massiv hackningsattack som kan ha satt många människor i fara
Nyheter om cyberattacker riktade mot organisationer i alla former och storlekar kommer ut dagligen, och det åtföljs ofta av mycket kritik för offret. Vanligtvis ligger problemet i hur händelsen hanteras, men det finns också fall då offren för cyberattacker fördöms för att de inte vidtagit tillräckliga försiktighetsåtgärder för att förhindra överträdelsen i första hand. I går medgav FN, den organisation som ansvarar för bland annat att bevara den bräckliga freden på vår dyrbara planet, att den har riktats av hackare. Det är säkert att säga att människor kan kritisera det inte bara för att de inte har förhindrat brottet utan också för hur de rapporterade det.
Table of Contents
FN drabbades av ett “välutrustat” cyberattack sommaren 2019
Innan vi kommer till FN: s misstag måste vi först se vad som hände. När allt kommer omkring talar vi om en enorm organisation som ansvarar för en enorm mängd data. En del av det är så känsligt att om det faller i fel händer kan det leda till förlust av människoliv. Lyckligtvis, om FN ska tro, misslyckades hackarna tillgång till de mest känsliga informationsbitarna.
Enligt det officiella tillkännagivandet träffade attacken "grundläggande infrastrukturkomponenter" i FN: s kontor i Wien och Genève. En av FN: s vapen i Genève är Office of the High Commissioner for Human Rights (OHCHR), och det bekräftades att dess servrar var riktade. Tack och lov lyckades angriparna bara komma till utvecklingsmiljön, vilket är lika bra eftersom OHCHR troligtvis hanterar känslig information som kan leda till förföljelse av aktivister av vissa regimer. Medan de inte fick se den informationen, lyckades hackarna kompromissa med vissa Active Directory-användar-ID, även om FN snabbt påpekade att inga lösenord har stulits.
FN: s tjänstemän föredrog att inte gå in för många detaljer om vad annat komprometterades. De påpekade dock att händelsen var "allvarlig" och de antydde att FN attackerades av en sofistikerad grupp hackare som har massor av resurser. Även om detta mycket väl kan vara fallet, kan attackens framgång inte helt hänföras till hackarens färdigheter. FN: s slarviga patchhantering spelade också en nyckelroll.
Attacken var framgångsrik på grund av en försenad uppdatering
Många är oroliga eftersom gårdagens tillkännagivande bevisar än en gång att till och med enorma organisationer med global betydelse kan hackas framgångsrikt. Den verkligen skrämmande biten är dock att dessa organisationer lämnar sig sårbara för cyberattacker.
För att förstå vad som egentligen hände måste vi spola tillbaka klockan till februari 2019 när säkerhetsforskare fann en exekveringsfel för fjärrkod i Microsoft SharePoint, ett samarbetsdokument och filhanteringssystem som används av hundratusentals organisationer över hela världen. Felet kan tillåta hackare att kringgå SharePoints autentisering och köra kod på målets server. De potentiella konsekvenserna av en sådan attack var enorma, varför sårbarheten klassificerades som kritisk, den fick ett CVE-nummer (CVE-2019-0604) och arbetet med en patch startade omedelbart. I mars utfärdade Microsoft en uppdatering för att adressera CVE-2019-0604 på de flesta av de drabbade SharePoint-versionerna, och den 25 april 2019 släppte den ytterligare en patch för resten av de sårbara plattformarna.
FN: s IT-policy dikterar uppenbarligen att säkerhetsuppdateringar måste installeras inom en månad efter det att de släpptes, men tyvärr följs inte reglerna särskilt strikt. I juli 2019 utnyttjade hackarna CVE-2019-0604 på FN: s SharePoint-plattform och fick tillgång till organisationens servrar.
Cybersecurity-specialister investerar en hel del tid och ansträngningar för att övertyga användare och företag att det är oerhört viktigt att hålla mjukvaruapplikationer och operativsystem uppdaterade. Vi tenderar alla att anta att IT-experterna som arbetar för organisationer av global betydelse inte behöver påminnas om detta, men tydligen är detta inte fallet.
Det är hög tid att vi alla lär oss att det absolut inte finns någon ursäkt för att ignorera säkerhetsuppdateringar. Vi måste också se hur FN hanterade incidenten och lära av sina misstag.
FN höll medvetet attacken under omslag
Det är svårt att spekulera i huruvida FN hade för avsikt att avslöja överträdelsen igår, men faktum är att några timmar innan organisationens tjänstemän stod framför kamerorna, en byrå med namnet The New Humanitarian (TNH) bröt nyheterna. Rapporten var resultatet av en ganska lång utredning, som inleddes i november 2019 då Ben Parker, Senior Editor för TNH, snubblat över en intern FN-rapport från slutet av augusti förra året.
Det avslöjade att FN: s IT-team då var i mitten av att ansluta alla hål och undersöka vad som hade hänt. Vid den tiden kommunicerade experterna med varandra och försökte bedöma skadan. En anonym IT-tjänsteman berättade för TNH att det hela var en "stor nedbrytning" och Ben Parkers undersökning avslöjar faktiskt att inte färre än 40 servrar komprometterades under attacken. Servrarna var troligen kopplade till mänskliga resurser och sjukförsäkringssystem, vilket innebär att även om de inte fick se listor över mänskliga rättighetsaktivister, lyckades hackarna få tillgång till personuppgifterna för FN: s personal i Genève och Wien.
TNH: s utredning visar också att FN uppmanade sina anställda att ändra sina lösenord men hade absolut ingen avsikt att berätta för dem att deras data hade varit målet för ett cyberattack. De enda som visste om händelsen var IT-specialisterna som ansvarade för att rensa röran och folket längre upp i hierarkin.
Om detta var en normal organisation skulle det ha varit i alla slags problem. Böterna enligt EU: s GDPR skulle ha varit massiva, och det faktum att de drabbade anställda inte informerades i tid skulle ha fungerat som en solid grund för en talan. FN är dock inte en normal organisation. Det har diplomatisk immunitet, vilket innebär att tillsynsmyndigheterna inte har de lagliga rättigheterna att hålla det ansvariga, och alternativet för berörda individer är inte heller riktigt rikligt.
Det enda vi kan göra just nu är hopp om att andra organisationer, både stora och små, lär sig några lektioner.
