Jest takie stare powiedzenie: „syn szewca zawsze chodzi boso.” To ciekawe zrządzenie losu, że osoby najbliżej źródła często tracą korzyści. We współczesnym echu tego przysłowia Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) znalazła się w trudnej sytuacji.
Jaki jest powód naruszenia bezpieczeństwa danych CISA?
W lutym odkryli, że dwa z ich systemów zostały zainfekowane. Sprawca? Luki w produktach Ivanti. Zmusiło to CISA do podjęcia drastycznego kroku polegającego na zamknięciu tych systemów, które według wszelkich szacunków odegrały kluczową rolę we wspieraniu amerykańskiej infrastruktury.
CISA to nie byle agencja. To pies stróżujący bezpieczeństwa cybernetycznego. Jej powstanie, utworzone w ramach Departamentu Bezpieczeństwa Wewnętrznego w listopadzie 2018 r., było bezpośrednią reakcją na rosnący alarm dotyczący zagrożeń cybernetycznych i bezpieczeństwa kluczowej infrastruktury kraju. Pomysł był prosty, ale ambitny: wzmocnić obronę Ameryki w cyfrowym świecie.
Rzecznik CISA potwierdził naruszenie, wskazując punkt wejścia hakerów: luki w zabezpieczeniach wewnętrznych narzędzi Ivanti. Ivanti, z siedzibą główną w Utah, jest głównym graczem w sektorze bezpieczeństwa IT, oferującym swoje oprogramowanie do zarządzania systemami i oprogramowanie zabezpieczające imponująca lista 40 000 klientów. Jak chwalą się na swojej stronie internetowej, są to zarówno organizacje o dużej wadze, jak i organy rządowe rozproszone po całym świecie.
CISA szybko przystąpiła do minimalizacji szkód.
„Wpływ ograniczył się do dwóch systemów, które natychmiast wyłączyliśmy. Kontynuujemy unowocześnianie i unowocześnianie naszych systemów, ale w tej chwili nie ma to żadnego wpływu operacyjnego” – stwierdziła CISA. Trzymali jednak karty blisko piersi, nie ujawnił, czy uzyskano dostęp do jakichkolwiek danych.
Rekord jako pierwszy rzucił wyzwanie wyłomowi. Dostali informację od wtajemniczonej osoby, która ujawniła, że cyberprzestępcy przedostali się do dwóch systemów stanowiących integralną część bramy ochrony infrastruktury (IP). Ta brama nie jest zwykłą bazą danych; to skarbnica kluczowych danych i narzędzi niezbędnych do określenia rozmiaru infrastruktury krajowej. A narzędzie oceny bezpieczeństwa chemicznego (CSAT)? To tam USA przechowują swoje najbardziej strzeżone tajemnice przemysłowe, w tym listę zakładów chemicznych oznaczonych jako stwarzające wysokie ryzyko oraz szczegółowe oceny podatności na zagrożenia.
Jednak jest tu trochę mrocznie. CISA nie potwierdziła wyraźnie ani nie odrzuciła poglądu, że te konkretne systemy to te wyciągnięte z sieci. Tożsamość atakujących pozostaje owiana tajemnicą, ale ścieżka włamania była jasna i polegała na wykorzystaniu niedawnych luk w zabezpieczeniach produktów Ivanti Connect Secure VPN i Ivanti Policy Secure. Kto zgłosił te luki? Samo CISA, w nieco ironicznym wydaniu.
CISA monitorowała problemy z oprogramowaniem Ivanti na długo przed tym incydentem. Pierwszego lutego nie tylko podniesiono flagę; wydała dyrektywę skierowaną do wszystkich agencji rządowych Stanów Zjednoczonych, aby odcięły kable od usług Ivanti Connect Secure i Ivanti Policy Secure. Nie poprzestając na tym, kilka tygodni później zaalarmowano, że ugrupowania zagrażające aktywnie wykorzystują trzy luki w zabezpieczeniach Ivanti, oznaczone CVE-2023-46805, CVE-2024-21887 i CVE-2024-21893. To tak, jakby CISA widziała gromadzące się chmury burzowe, ale mimo to złapała ich kropla deszczu.
Nikt nie jest odporny na zagrożenia cybernetyczne
To dylemat ery cyfrowej, który podkreśla uniwersalną prawdę: nikt nie jest odporny. Wyzwaniem dla wielu branż jest nie tylko reagowanie na naruszenia, ale także ich przewidywanie i udaremnianie, odwracając bieg wydarzeń w toczącej się walce o cyberbezpieczeństwo.
Lista nazwisk wagi ciężkiej z różnych sektorów – pomyśl Cenkora,Prudential Financial,Bank Ameryki,HPE, pożyczkaDepot, Trello, Metro, Piłka nożna w Australii, ZdrowieECI Fidelity National Financial– wszystkie zostały złapane w sieć incydentów związanych z bezpieczeństwem danych w 2024 r.
Kredyty obrazkowe: Kerem Gülen/Midjourney
