Odpowiedzialności nie można oddać w outsourcing: wyciek danych z Ubera pokazuje zakres odpowiedzialności firm za bezpieczeństwo danych w chmurze

Konsumenci i specjaliści ds. cyberbezpieczeństwa z całego świata byli zszokowani, gdy firma Uber ujawniła, że zapłaciła hakerom 100 000 dolarów za usunięcie skradzionych w zeszłym roku danych 57 milionów użytkowników. Sprawa ma wiele wątków i prawdopodobnie z czasem poznamy więcej szczegółów. Jednak zasadniczo pokazuje przede wszystkim to, że firmy muszą dbać o bezpieczeństwo swoich zasobów w chmurze tak samo, jak o bezpieczeństwo środowiska lokalnego. Po wejściu w życie unijnego ogólnego rozporządzenia o ochronie danych (RODO, ang. GDPR) firmom będą grozić olbrzymie kary za niedostateczną ochronę danych klientów. Przedsiębiorstwa muszą zdać sobie sprawę z tego, że odpowiedzialności nie można oddać w outsourcing.

Przebieg zdarzeń

Włamanie do Ubera miało miejsce „pod koniec 2016 roku” i doprowadziło do wycieku imion i nazwisk, adresów e-mail i numerów telefonów komórkowych 57 milionów użytkowników, w tym siedmiu milionów kierowców. Jak mówi dyrektor generalny firmy Dara Khosrowshahi, wyciekły też informacje z praw jazdy 600 000 kierowców ze Stanów Zjednoczonych. Bez odpowiedzi pozostaje wiele pytań. Przede wszystkim: czy hakerzy dotrzymali słowa i zniszczyli wszystkie skradzione dane, a także czy zdobyli tylko imiona i nazwiska, adresy e-mail, numery telefonów i informacje z praw jazdy.

Atak zaczął się od uzyskania przez dwie osoby dostępu do używanego przez pracowników Ubera prywatnego konta w serwisie GitHub. Według serwisu Bloomberg te dwie osoby znalazły tam dane uwierzytelniające umożliwiające dostęp do konta Ubera w serwisie Amazon Web Services (AWS), a tam znalazły ogromną ilość danych kierowców i pasażerów.

Podział odpowiedzialności

Wynika z tego kilka wniosków:

  • Do ochrony tak poufnych danych nie należy nigdy używać połączenia nazwy użytkownika ze statycznym hasłem.
  • Firmy powinny jak najszybciej informować odpowiednie organy ścigania o wycieku danych.
  • Nie wolno płacić okupu hakerom.
  • A przede wszystkim firmy powinny odpowiednio zabezpieczać swoje środowiska chmurowe.

W swoim oświadczeniu Khosrowshahi stwierdza, że po zatuszowanym incydencie z zeszłego roku Uber „wdrożył środki bezpieczeństwa ograniczające dostęp do kont w usługach pamięci masowej w chmurze i zapewniające lepszą kontrolę nad tymi kontami”. Przypuszczalnie środki te objęły wprowadzenie jakiegoś rodzaju uwierzytelniania wieloelementowego oraz zasady minimum uprawnień. Problem w tym, że są to najlepsze procedury, które powinny być stosowane od samego początku.

Dlaczego Uber nie dbał o bezpieczeństwo swojego środowiska chmurowego? Ciekawy trop znajdziemy w oświadczeniu Khosrowshahiego:

Niedawno dowiedziałem się, że pod koniec 2016 roku firma odkryła, że dwie osoby spoza firmy w nieprawidłowy sposób uzyskały dostęp do danych użytkowników, które przechowujemy w usłudze chmurowej innej firmy. Nie miał miejsca wyciek danych z naszych własnych systemów ani infrastruktury.

Takie stwierdzenie budzi pewne wątpliwości, bo próbuje się tu oddzielić własną infrastrukturę firmy od jej konta AWS. W rzeczywistości usługi chmurowe używane przez firmę automatycznie stają się częścią jej infrastruktury i muszą być tak samo chronione. AWS bardzo wyraźnie stwierdza, że zgodnie z modelem podziału odpowiedzialności dba tylko o sprzęt, oprogramowanie, sieci i nieruchomości, dzięki którym działają usługi chmurowe — dba o „bezpieczeństwo chmury”. Odpowiedzialność za całą resztę, w tym dane użytkowników i aplikacje, spoczywa na klientach AWS.

RODO

Nie wiemy, jaką karę na podstawie przepisów RODO musiałby zapłacić Uber, gdyby taki wyciek miał miejsce po 25 maja 2018 r. Za niepowiadomienie o poważnym wycieku danych grozi kara w wysokości do 10 milionów euro lub do 2% rocznego globalnego obrotu firmy. Patrząc na przychody Ubera w 2016 roku, byłoby to około 130 milionów dolarów.

Ponieważ firma nie stosowała najlepszych procedur branżowych w dziedzinie kontroli dostępu i bezpieczeństwa w chmurze, kara mogłaby być jeszcze większa. Przesłanie dla wszystkich osób kierujących firmami lub odpowiadających za IT jest jasne: używanie usług chmurowych nie zwalnia od odpowiedzialności za bezpieczeństwo — wręcz przeciwnie. Ochrona wszystkich danych osobowych przechowywanych w różnych miejscach wymaga bardzo dużo uwagi.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *