Skandynawów problemy z outsourcingiem obsługi krytycznych państwowych systemów
ŁUP! Dopiero co zarząd HSØ ze wstydem przyznał, że – ojej! – ukradziono dane pacjentów, gdy gruchnęła wieść, że wyfrunęły miliony rekordów z baz agencji transportu. Dotychczas milkliwa szefowa policji bezpieczeństwa ostrzega – to początek.
Szefowa norweskiej PST (policja bezpieczeństwa), Benedicte Bjørnland zmieniła taktykę wszystkich poważnych służb specjalnych, które żyją z tego, że nabierają wody w usta i – choćby im rozpalić pod siedzeniem ogień, czekają aż woda zawrze – i milczą. 30 stycznia ogłosiła oficjalnie na specjalnie zwołanej konferencji prasowej, że jest źle i będzie jeszcze gorzej. Rok 2018 wg Bjørnland będzie znany jako Parszywy Rok Dla Bezpieczeństwa Norwegii (nazwa nieoficjalna, właśnie ją wymyśliliśmy).
Kilku skromnych włamywaczy
Dla Norwegii przyszedł czas trudniejszy, niż w 2013 dla jej sąsiada. Wtedy to w Szwecji namierzono człowieka, który zhakował InfoTorg. Przypomnijmy, chodziło o Gottfrida Svartholma, założyciela The Pirate Bay, który w niebanalny sposób postanowił nabyć wiedzę o swoich rodakach. A że miał rozmach – o wszystkich. Nie sprzedawał swojej wiedzy żadnemu ze światowych wywiadów.
Svartholm popełnił błąd i dał się namierzyć – zainteresował się swoimi własnymi danymi i poświęcił temu odpowiedni czas. Curiosity killed the cat – staranna analiza ruchu w zhakowanej bazie pozwoliła odkryć sprawcę. Choć wspominamy o wydarzeniu sprzed zaledwie 5 lat, wiemy, że w sprawach bezpieczeństwa czas płynie inaczej. W 2015, 2 lata po złapaniu Szweda, doskonałe włamy do amerykańskich baz rządowych robił 15letni Brytyjczyk ze smartfonem w łapie. Tym razem Amerykanie mieli szczęście – chłopak nie robił tego dla żadnej z zewnętrznych służb specjalnych. Wygląda na to, że się nieziemsko nudził – to doprawdy skandal, że dzisiejsze dzieci nie grają w piłkę i nie tłuką w krzakach rówieśników.
Rok temu rząd kraju, w którym urodził się oszczędny wynalazca składania mebli z pojedynczych elementów, postanowił pójść w oszczędnościach dalej niż klienci IKEI i w związku z potrzebą obniżenia kosztów postanowił obsługę baz danych przekazać zewnętrznej firmie z innego kraju. Swoją drogą, gdy przyjrzeć się realiom krajów skandynawskich, trudno oprzeć się wrażeniu, że zarówno tknięta opisywanymi przez nas dwakroć skandalami informatycznymi Szwecja, jak i właśnie opisywana Norwegia, nie muszą AŻ TAK BARDZO martwić się oszczędnościami. Norwegia to kraj, w którym systemowi socjalnemu opłaca się wynająć pięcioosobowej rodzinie emigranckiej hotel za kwotę 100 tys. NOK miesięcznie, niż poszukać lokum socjalnego za tę samą kwotę rocznie. W tym kraju główną dziedziną gospodarki, zaraz po przemyśle naftowym, jest przemysł zbrojeniowy oraz z nim powiązane. Czytaliście lub oglądaliście genialnych „Łowców głów” Nesbø? Wojsko potrzebuje nie tylko karabinów i nabojów, ale przede wszystkim najnowszych technologii. Szwecja i Norwegia takie mają i sprzedają je drogo. Waluty wymienialne płyną wartką strugą do obu krajów. I nagle politycy i zarządy państwowych spółek najbardziej na świecie troszczą się o to, by było tanio…
Ej, co jest?
W 2017 zaatakowano szwedzką Agencję Transportu. Agencja potrzebowała obniżyć zbyt wysokie koszty obsługi posiadanych baz danych. Zaczęła zwalniać pracowników, jednocześnie szukając wykonawcy z zewnątrz. Kontrakt wygrał IBM. Miało być tanio i szybko (hej, czy my o tym nie pisaliśmy ostatnio, w aspekcie skandalu w spółce zarządzającej systemem zdrowotnym w Norwegii???) i dane trafiły do Czech, gdzie IBM ma swoje centrum usług. Podobnie jak nieco później w Norwegii, tak i w Szwecji okazało się, że pracownicy z zewnątrz nie przeszli niezbędnej weryfikacji przez szwedzkie służby. Zabezpieczenia, powiadacie? Na pewno ustanowiono odpowiednie zabezpieczenia? A tak – wsparcie sieci i firewalli przekazano w ręce serbskiej filii firmy NCR. No, ale to ostatecznie tylko dane samochodów, prawda? Nie ma tragedii?
Siądźcie sobie wygodnie: w bazie, przekazywanej podmiotom komercyjnym w celach marketingowych, znalazły się dane niejawne – uwaga, bo to naprawdę niezłe: w tym osób objętych programem ochrony świadków. Co wtedy zrobiła Agencja Transportu? Napisała otwarty mail do podmiotów, którym udostępniła bazę: „bardzo przepraszamy, prosimy o usunięcie z państwa bazy następujących danych…” i bardzo dokładnie wyszczególniła, o jakie dane chodzi. Np. dane osobowe osób objętych programem ochrony świadków. Ale tak konkretnie, z imienia, nazwiska i innych fajnych informacji.
Czy hasło „oszczędność” oślepia?
Pół roku później, u progu 2018, w sąsiedniej Norwegii z siostrzanej organizacji czyli Zarządu Dróg i Autostrad (odpowiednik Agencji Transportu w Szwecji, odpowiada za budowę i utrzymanie infrastruktury drogowej krajowej i regionalnej oraz kontrolę wszelkich pojazdów mechanicznych) wypłynęły miliony danych. Aresztowano 30letniego mieszkańca Bergen. Nie jest pewne, jakie dokładnie dane zostały pobrane ani co oraz w jaki sposób mogą zostać wykorzystane. Media jednak domniemują, że sprawa jest poważna, a włamywacz uzyskał dostęp nawet do bardzo wrażliwych danych. Nie jest też wykluczone, że zawarte w zaatakowanej bazie dane mogły zostać zmodyfikowane przez włamywacza.
Zdarzenie zbiegło się w czasie z kradzieżą w Helse Sør-Øst, będącą ukoronowaniem gigantycznych zaniedbań wg opisanego wyżej scenariusza szwedzkiego. „Ojtam, ojtam” powiedzieli politycy i wkrótce radośnie w parlamencie wyrazili zgodę, by norweska służba zdrowia korzystała z zewnętrznych dostawców usług. Torgeir Waterhouse, dyrektor IT w IKT Norge wyzłośliwił się nawet, że nie widzi powodu, by usługi IT były na zewnątrz, skoro szpitale same nie produkują benzyny do karetek ani nie uprawiają buraków ani brukwi, by potem ją ugotować w szpitalnych stołówkach.
„Braze yourself, winter is comming”
W takiej rzeczywistości otwarte stanowisko norweskiej policji nie dziwi. Podmioty, o które służby bezpieczeństwa powinny się troszczyć, robią bowiem wrażenie, jakby przepychały się w kolejce, żeby skoczyć w przepaść w najbardziej efektownym stylu. Szefowa PST uważa, że ataki na, jak określiła, „krytyczną infrastrukturę” należą do najpoważniejszych zagrożeń dla państwa w 2018 roku. Nie tylko chodzi o już zaatakowaną strukturę służby zdrowia i niejasny atak na dane transportowe, ale i o ogólne bezpieczeństwo telekomunikacji, sieci energetycznej i wodnej czyli systemów najważniejszych dla społeczeństwa. Wg niej nie wolno lekceważyć żadnych dziur w zabezpieczeniach. Najgroźniejsze – jak podkreśla – są wszelkie ataki na systemy IT. To co się zdarzyło, to – wg niej – dopiero początek. Zwraca też uwagę, że atak na Helse Sør-Øst to dowód na chorobę, która już od dawna toczy system. Zabezpieczenie IT własnymi siłami jest wg niej jedynym rozwiązaniem, by zadbać o bezpieczeństwo państwa.
Benedicte Bjørnland zakomunikowała wprost, że za cyber ataki odpowiedzialne są i będą obce państwa. Norweskie media komentowały na gorąco, że jej wypowiedź przypominała scenariusz filmu sensacyjnego. Podkreślały, że takie stanowisko służb bezpieczeństwa jest absolutnie niezwykłe. Bjørnland nie jest ousiderką, osamotnioną specjalistką w branży ani startującą w wyborach polityczką, nie straszy i nie szuka poklasku. Uprzedza, że jej służby wdrażają daleko posunięte działania dla kontroli bezpieczeństwa kraju. Ostrzega.
Bardzo poważnie.
Zdjęcia z konferencji prasowych Bjørnland pochodzą z profilu Politiets sikkerhetstjeneste na FLICKR.
Podobne wpisy
- Zapraszamy na studia podyplomowe z cyberbezpieczeństwa w Krakowie
- Kiedy nawet dobry EDR nie wystarcza – case study prawie udanego ataku z polskiej firmy
- Podstawy Bezpieczeństwa: Jak zadbać o bezpieczeństwo i prywatność na Discordzie
- 25 miejsc, gdzie warto czytać po polsku o bezpieczeństwie
- Jak wszystkie polskie media podały dalej fake newsa o włamaniu hakerów do banku
Używanie własnych sił jest rozsądne, ale są dwa warunki:
-po pierwsze trzeba te siły mieć, dodatkowo w odpowiedniej ilości i odpowiednio wyszkolone
-a po drugie trzeba wiedzieć, czy nie zostały spenetrowane przez obce wywiady lub grupy wpływu, które mają wobec nich swoje zamiary.
Z tego co już ujawniono wynika, że nikomu nie zależy na bezpieczeństwie tych danych, albo dokładnie odwrotnie, zależy, żeby dane powędrowały „na zewnątrz”. I tutaj jest pies pogrzebany.
Mała uwaga: chyba nie „100 tys. NOR miesięcznie”, tylko „NOK” :-)
Co do meritum: uważam, że nie tylko trzeba mieć własne, odpowiednio wyszkolone, sprawdzone i dobrze opłacane kadry.
Jeżeli mamy do czynienia z dużymi bazami danych osobowych i wrażliwych, należy zadbać o jeszcze kilka istotnych rzeczy:
– zbieranie absolutnego minimum danych, nawet jeśli utrudnia to pracę policji czy urzędom (przykładowo: w bazach danych medycznych niepotrzebne są miejsca urodzenia, obywatelstwo, imiona rodziców, adresy zamieszkania, czy nawet dokładna data urodzenia – lekarzowi wystarczy rok urodzenia do określenia wieku; w ewidencji paszportów czy dowodów osobistych niepotrzebne są imiona rodziców i adresy zamieszkania; podobnie inne miejsca – wszędzie minumum danych),
– zupełna likwidacja jednego klucza do wszystkich baz – czyli w Polsce numeru PESEL, w Norwegii numeru personalnego, itd., jako zbyt niebezpiecznych. Są zresztą państwa, gdzie takich numerów nie ma (Węgry, Wielka Brytania).
Taki jednolity klucz można zastąpić np. numerami dokumentów tożsamości w wypadku rejestru paszportów; w bazach danych medycznych i tylko w tej bazie – numerem pacjenta; w bazie urzędu podatkowego czy celnego – numerem NIP, analogicznie stosowanym tylko do celów skarbowych;
– unikanie „single point of failure” – wówczas wystarczy jeden nieuczciwy administrator centralnej bazy i tragedia gotowa,
– stosowanie technologii, które nawet w razie nieszczęścia przejęcia całej bazy przez włamywaczy nie spowodują katastrofy. Czyli na przykład szyfrowanie homomorficzne – a jeśli jest jeszcze niedoskonałe, to inne systemy kryptografii, odpowiednio zaprojektowane z myślą o tym, że dane mają być bezpieczne nawet przy wyciekach (wiem że to trudne, i że wiąże się ze żmudnym zarządzaniem kluczami, ale innej drogi nie ma)
– niezwłoczne i automatyczne kasowanie danych niepotrzebnych i przestarzałych; jeśli potrzebna jest archiwizacja na jakiś czas, to przenoszenie do osobnych, odseparowanych baz z silniejszymi ograniczeniami dostępu.
done, dzięki za wyłapanie
niech mnie ktoś poprawi, jeśli wie napewno. Ponoć nasze JPK zbiera M$FT bo MF nie ma takiej infrastruktury? Bo jeśli te dane rzeczywiście opuszczają terytorium RP i/lub będzie do tego miało dostęp paru sprytnych analityków to wkrótce będziemy mieli prawdziwy najazd zagranicznych koncernów.
Dane JPK trafiają do chmury M$ tymczasowo w formie zaszyfrowanej, następnie są pobierane do serwerowni MF w celu dalszego przetwarzania. Rozwiązanie takie zostało przyjęte bo infrastruktura MF:
1 mogłaby mieć problemy z obsłużeniem ruchu w tym jednym dniu w miesiącu, w którym wszystkie podmioty wysyłają JPK
2 Nie jest przeznaczona do świadczenia usług publicznych.
Czy to dobre rozwiązanie? Z technicznego punktu widzenia ma sens. Z punktu widzenia bezpieczeństwa, osobiście mam mieszane uczucia: dane są szyfrowane ale każdy szyfr kiedyś zostanie złamany, poza tym zawsze może się zdarzyć, że ktoś przez pomyłkę, błąd w oprogramowaniu itp wyśle nieszyfrowane. Nobibjesscse jedno, dostępność usługi zależy od widzimisię M$.
A znasz może publiczny urząd który przetwarza nasze dane na skalę masową i potrafi dobrze wdrożyć rozwiązania bezpieczeństwa ? Poza tym jak znam życie wystarczy napisać do jakieś kierowniczki mejla, która ma pod sobą dział IT, że się niby jest z microsoftu i potrzebujemy kopii wszystkich plików, bo coś się nam nie zgadza i trzeba porównać pliki. Nie chcę być czarnowidzem, ale przy naszej papierologii i spychologii to rozwiązanie jest najskuteczniejsze, żadnego szyfrowania nie trzeba łamać.
towarzysz Ivan zorientowany, więc zapytam jeszcze – czy MF robiło jakieś szacunki ile tych danych będzie spływać miesięcznie? Rok 2017 daje już konkretne wielkości, ale dopiero teraz chyba będzie drastyczne zwiększenie ilości. Czy gdzieś można poczytać oficjalnie (lub nie) o tym?
„Dane JPK trafiają do chmury M$ tymczasowo w formie zaszyfrowanej, następnie są pobierane do serwerowni MF”
Forma zaszyfrowana oznacza „zaszyfrowane paczki” czy „zaszyfrowaną bazę”?
O ile poprzedni wpis Pani Agnieszki był w porządku, o tyle ten wygląda jakby był napisany na Wykopie lub w Super Expresie.
Za dużo emocji, uogólnień lub komentarzy autorki a za mało treści. Artykuł spokojnie mógłby być krótszy z tymi samymi informacjami, a będący bardziej neutralny. Wynikiem tego, byłby przyjemniejszy w czytaniu – bo aktualnie czytało się go bardzo ciężko.
W zdaniu „Torgeir Waterhouse, dyrektor IT w IKT Norge wyzłośliwił się nawet, że nie widzi powodu, by usługi IT były na zewnątrz, skoro szpitale same nie produkują benzyny do karetek ani nie uprawiają buraków ani brukwi, by potem ją ugotować w szpitalnych stołówkach.” zabrakło chyba jednego przeczenia ;)
A może Redakcja zechciała by sprawdzić, gdzie lądują dane polskich przedsiębiorców zobowiązanych wysyłać JPK – pozwalające nie tylko mierzyć puls i tętno narodowej gospodarki, ale także ustalać poziomy cen transakcyjnych czy profile przewag konkurencyjnych…
Podejrzewam, że bardzo odkrywcza była zarówno refleksja kto tak naprawdę ma dostęp do tych danych jak i analiza struktury własnościowej komercyjnego operatora chmury, w którą _polska_administracja_skarbowa_ wrzuca tak wrażliwe i konfidencjonalne dane.
Są składowane w chmurze MS, ale zaszyfrowane. Klucze pozostają w kraju.
Jeśli szukacie przykładów podobnej klasy, to z polskiego podwórka: Druk polskich dowodów osobistych w 2000 r przez konsorcjum firm na Węgrzech, które otrzymało bazę PESEL. Okazało się, że dyrektorem (słupem?) jednej z firm – Multipolaris jest bardzo udekorowany za owocną służbę (były?) generał wywiadu rosyjskiego, a że był Węgrem, też węgierskiego, generał Ferenc Hevesi Toth. Umowę zmieniono: Multipolaris zastąpiono polskimi firmami Biatel i Poldok – w których władzach tak przy okazji, zasiadał Grzegorz Białoruski, szef gabinetu MSWiA, i poproszono o zwrot bazy… Radzę poczytać link, jak fragment z Jamesa Bonda:
http://www.newsweek.pl/polska/sprawa-za-miliard,23764,1,1.html
Druga wpadka większego kalibru, to wynajęcie gmachu dla służb skarbowych (min. Policji Skarbowej) w Warszawie od tajemniczych właścicieli, którzy okazali się jedynie reprezentantami innych tajemniczych podmiotów za granicą, będących, jak już zapewne się domyślacie, reprezentantami kolejnych, w kolejnych państwach. W końcu dochodzenie utknęło na jednoosobowym mini biurze w Londynie, którego właściciel oczywiście nic nie wiedział, bo jedynie przekazywać miał listy, gdyby klient po nie przysłał.
Było to dziwne, choć samo w sobie niegodne uwagi. Godna uwagi, szczególnie w powyższym kontekście była umowa z tajemniczym Wynajmującym. Miał on prawo (np. dla pokazania gmachu ewentualnym kontrahentom) wprowadzić dowolne osoby przez niego upoważnione i gości (kontrahentów) o dowolnej porze dnia i nocy (24 h) do każdego pomieszczenia, bez jakichkolwiek świadków oględzin np, ochrony budynku, pracowników itd.
Dodatkowo, w celu zabezpieczenia tych możliwości Najemca, czyli Ministerstwo Finansów zobowiązało się w umowie do wydania Wynajmującemu pełnego kompletu kluczy do wszystkich drzwi zewnętrznych i wewnętrznych, włącznie z zamkami w kratach okiennych. Dotyczyło to, jak w umowie podkreślono także wszelkich zabezpieczeń elektronicznych, a więc kodów do nich.
Najemca miał prawo wymienić zamek, lub kłódkę w oknie, albo zmienić kod, ale musiał nowy klucz / kod dostarczyć Wynajmującemu w ciągu 24 godzin, pod groźbą natychmiastowego zerwania umowy, z wszelkimi konsekwencjami. Dodam tylko jeszcze, że czynsz nie był niski. Za kilka lat czynszu można by wybudować podobny gmach.
Trudno oszacować jaka konkurencja polskich firm wzbogaciła się na danych Urzędów skarbowych i Policji Skarbowej, przechowywanych w opisanej siedzibie. Były to z pewnością cenne dane.
Biorąc pod uwagę tak daleko idącą współpracę urzędników tego państwa ze służbami obcymi, nie powinno specjalnie dziwić ani to jak zrujnowano polską gospodarkę po 89, ani dziwne milczenie w sprawie Skoku Wołomin, ani Smoleńsk.
dzięki