Skandynawów problemy z outsourcingiem obsługi krytycznych państwowych systemów

dodał 8 lutego 2018 o 16:52 w kategorii Prywatność, Włamania, Wpadki  z tagami:
Skandynawów problemy z outsourcingiem obsługi krytycznych państwowych systemów

ŁUP! Dopiero co zarząd HSØ ze wstydem przyznał, że – ojej! – ukradziono dane pacjentów, gdy gruchnęła wieść, że wyfrunęły miliony rekordów z baz agencji transportu. Dotychczas milkliwa szefowa policji bezpieczeństwa ostrzega – to początek.

Szefowa norweskiej PST (policja bezpieczeństwa), Benedicte Bjørnland zmieniła taktykę wszystkich poważnych służb specjalnych, które żyją z tego, że nabierają wody w usta i – choćby im rozpalić pod siedzeniem ogień, czekają aż woda zawrze – i milczą. 30 stycznia ogłosiła oficjalnie na specjalnie zwołanej konferencji prasowej, że jest źle i będzie jeszcze gorzej. Rok 2018 wg Bjørnland będzie znany jako Parszywy Rok Dla Bezpieczeństwa Norwegii (nazwa nieoficjalna, właśnie ją wymyśliliśmy).

Kilku skromnych włamywaczy

Dla Norwegii przyszedł czas trudniejszy, niż w 2013 dla jej sąsiada. Wtedy to w Szwecji namierzono człowieka, który zhakował InfoTorg. Przypomnijmy, chodziło o Gottfrida Svartholma, założyciela The Pirate Bay, który w niebanalny sposób postanowił nabyć wiedzę o swoich rodakach. A że miał rozmach – o wszystkich. Nie sprzedawał swojej wiedzy żadnemu ze światowych wywiadów.

Svartholm popełnił błąd i dał się namierzyć – zainteresował się swoimi własnymi danymi i poświęcił temu odpowiedni czas. Curiosity killed the cat – staranna analiza ruchu w zhakowanej bazie pozwoliła odkryć sprawcę. Choć wspominamy o wydarzeniu sprzed zaledwie 5 lat, wiemy, że w sprawach bezpieczeństwa czas płynie inaczej. W 2015, 2 lata po złapaniu Szweda, doskonałe włamy do amerykańskich baz rządowych robił 15letni Brytyjczyk ze smartfonem w łapie. Tym razem Amerykanie mieli szczęście – chłopak nie robił tego dla żadnej z zewnętrznych służb specjalnych. Wygląda na to, że się nieziemsko nudził – to doprawdy skandal, że dzisiejsze dzieci nie grają w piłkę i nie tłuką w krzakach rówieśników.

Rok temu rząd kraju, w którym urodził się oszczędny wynalazca składania mebli z pojedynczych elementów, postanowił pójść w oszczędnościach dalej niż klienci IKEI i w związku z potrzebą obniżenia kosztów postanowił obsługę baz danych przekazać zewnętrznej firmie z innego kraju. Swoją drogą, gdy przyjrzeć się realiom krajów skandynawskich, trudno oprzeć się wrażeniu, że zarówno tknięta opisywanymi przez nas dwakroć skandalami informatycznymi Szwecja, jak i właśnie opisywana Norwegia, nie muszą AŻ TAK BARDZO martwić się oszczędnościami. Norwegia to kraj, w którym systemowi socjalnemu opłaca się wynająć pięcioosobowej rodzinie emigranckiej hotel za kwotę 100 tys. NOK miesięcznie, niż poszukać lokum socjalnego za tę samą kwotę rocznie. W tym kraju główną dziedziną gospodarki, zaraz po przemyśle naftowym, jest przemysł zbrojeniowy oraz z nim powiązane. Czytaliście lub oglądaliście genialnych „Łowców głów” Nesbø? Wojsko potrzebuje nie tylko karabinów i nabojów, ale przede wszystkim najnowszych technologii. Szwecja i Norwegia takie mają i sprzedają je drogo. Waluty wymienialne płyną wartką strugą do obu krajów. I nagle politycy i zarządy państwowych spółek najbardziej na świecie troszczą się o to, by było tanio…

 

Ej, co jest?

W 2017 zaatakowano szwedzką Agencję Transportu. Agencja potrzebowała obniżyć zbyt wysokie koszty obsługi posiadanych baz danych. Zaczęła zwalniać pracowników, jednocześnie szukając wykonawcy z zewnątrz. Kontrakt wygrał IBM. Miało być tanio i szybko (hej, czy my o tym nie pisaliśmy ostatnio, w aspekcie skandalu w spółce zarządzającej systemem zdrowotnym w Norwegii???) i dane trafiły do Czech, gdzie IBM ma swoje centrum usług. Podobnie jak nieco później w Norwegii, tak i w Szwecji okazało się, że pracownicy z zewnątrz nie przeszli niezbędnej weryfikacji przez szwedzkie służby. Zabezpieczenia, powiadacie? Na pewno ustanowiono odpowiednie zabezpieczenia? A tak – wsparcie sieci i firewalli przekazano w ręce serbskiej filii firmy NCR. No, ale to ostatecznie tylko dane samochodów, prawda? Nie ma tragedii?

Siądźcie sobie wygodnie: w bazie, przekazywanej podmiotom komercyjnym w celach marketingowych, znalazły się dane niejawne – uwaga, bo to naprawdę niezłe: w tym osób objętych programem ochrony świadków. Co wtedy zrobiła Agencja Transportu? Napisała otwarty mail do podmiotów, którym udostępniła bazę: „bardzo przepraszamy, prosimy o usunięcie z państwa bazy następujących danych…” i bardzo dokładnie wyszczególniła, o jakie dane chodzi. Np. dane osobowe osób objętych programem ochrony świadków. Ale tak konkretnie, z imienia, nazwiska i innych fajnych informacji.

Czy hasło „oszczędność” oślepia?

Pół roku później, u progu 2018, w sąsiedniej Norwegii z siostrzanej organizacji czyli Zarządu Dróg i Autostrad (odpowiednik Agencji Transportu w Szwecji, odpowiada za budowę i utrzymanie infrastruktury drogowej krajowej i regionalnej oraz kontrolę wszelkich pojazdów mechanicznych) wypłynęły miliony danych. Aresztowano 30letniego mieszkańca Bergen. Nie jest pewne, jakie dokładnie dane zostały pobrane ani co oraz w jaki sposób mogą zostać wykorzystane. Media jednak domniemują, że sprawa jest poważna, a włamywacz uzyskał dostęp nawet do bardzo wrażliwych danych. Nie jest też wykluczone, że zawarte w zaatakowanej bazie dane mogły zostać zmodyfikowane przez włamywacza.

Zdarzenie zbiegło się w czasie z kradzieżą w Helse Sør-Øst, będącą ukoronowaniem gigantycznych zaniedbań wg opisanego wyżej scenariusza szwedzkiego. „Ojtam, ojtam” powiedzieli politycy i wkrótce radośnie w parlamencie wyrazili zgodę, by norweska służba zdrowia korzystała z zewnętrznych dostawców usług. Torgeir Waterhouse, dyrektor IT w IKT Norge wyzłośliwił się nawet, że nie widzi powodu, by usługi IT były na zewnątrz, skoro szpitale same nie produkują benzyny do karetek ani nie uprawiają buraków ani brukwi, by potem ją ugotować w szpitalnych stołówkach.

„Braze yourself, winter is comming”

W takiej rzeczywistości otwarte stanowisko norweskiej policji nie dziwi. Podmioty, o które służby bezpieczeństwa powinny się troszczyć, robią bowiem wrażenie, jakby przepychały się w kolejce, żeby skoczyć w przepaść w najbardziej efektownym stylu. Szefowa PST uważa, że ataki na, jak określiła, „krytyczną infrastrukturę” należą do najpoważniejszych zagrożeń dla państwa w 2018 roku. Nie tylko chodzi o już zaatakowaną strukturę służby zdrowia i niejasny atak na dane transportowe, ale i o ogólne bezpieczeństwo telekomunikacji, sieci energetycznej i wodnej czyli systemów najważniejszych dla społeczeństwa. Wg niej nie wolno lekceważyć żadnych dziur w zabezpieczeniach. Najgroźniejsze – jak podkreśla – są wszelkie ataki na systemy IT. To co się zdarzyło, to – wg niej – dopiero początek. Zwraca też uwagę, że atak na Helse Sør-Øst to dowód na chorobę, która już od dawna toczy system. Zabezpieczenie IT własnymi siłami jest wg niej jedynym rozwiązaniem, by zadbać o bezpieczeństwo państwa.

Benedicte Bjørnland zakomunikowała wprost, że za cyber ataki odpowiedzialne są i będą obce państwa. Norweskie media komentowały na gorąco, że jej wypowiedź przypominała scenariusz filmu sensacyjnego. Podkreślały, że takie stanowisko służb bezpieczeństwa jest absolutnie niezwykłe. Bjørnland nie jest ousiderką, osamotnioną specjalistką w branży ani startującą w wyborach polityczką, nie straszy i nie szuka poklasku. Uprzedza, że jej służby wdrażają daleko posunięte działania dla kontroli bezpieczeństwa kraju. Ostrzega.

Bardzo poważnie.

Zdjęcia z konferencji prasowych Bjørnland  pochodzą z profilu Politiets sikkerhetstjeneste na FLICKR.