Naruszenie bezpieczeństwa sieci dużej firmy negatywnie wpływa na jej wizerunek na rynku. Szczególnie problem ten dotyczy firm działających w sektorze bezpieczeństwa komputerowego. Jak trudno zapobiegać takim zdarzeniom, lecz także jak na nie reagować, pokazał nam właśnie Sophos.
Wykrycie włamania
Co może złagodzić złe wrażenie, które pozostaje po włamaniu? Na pewno jego samodzielne wykrycie i to się Sophosowi udało. Jak mówi komunikat firmy, trzeciego kwietnia odkryła ona na głównym serwerze serwisu dla swoich partnerów (https://gpp.partners.sophos.com) dwa nieautoryzowane „programy”. Wstępna analiza tych programów wykazała, ze ich celem było umożliwienie zdalnego dostępu do informacji. Naszym zdaniem opis sugeruje, że mogły to być tzw. webshelle, czyli pliki php/asp umożliwiające dostęp do funkcjonalności powłoki systemu. Tu Sophos zdobywa punkty za to, że o włamaniu do swojej sieci nie dowiedział się od dziennikarzy.
Reakcja na incydent
Drugim elementem łagodzącym wydźwięk włamania na serwer firmy sprzedającej usługi bezpieczeństwa jest na pewno właściwa reakcja na incydent. Tutaj także Sophos zdobył kilka punktów. Co prawda do tej pory nie wykrył śladów świadczących o kradzieży informacji, jednak przyjął założenie, że do takiej kradzieży mogło dojść. Serwer został odłączony od sieci i poddany analizie, firma opublikowała swoje oświadczenie i opisała okoliczności incydentu. Poinformowała także, że na serwerze przechowywane były takie dane jak nazwa firmy partnerskiej, adres email, dane kontaktowe oraz hash hasła.
Sophos ostrzegł także swoich partnerów przed możliwymi zagrożeniami związanymi z wyciekiem danych. Poprosił ich o zmianę haseł, jeśli hasła do serwisu partnerskiego używali gdziekolwiek indziej. Ostrzegł także o możliwości otrzymania przez partnerów emaili phishingowych, podszywających się pod Sophosa. Na koniec zawarł również przeprosiny.
Rozwiązanie przykładowe
Trzeba przyznać, że nie licząc lepszego zabezpieczenia serwera, Sophos zrobił, co tylko mógł, by zatrzeć złe wrażenie. Nie poszedł w ślady Symanteca, który po 6 latach przyznał, że miało miejsce włamanie do jego sieci korporacyjnej i kradzież kodu źródłowego wszystkich produktów. Uniknął tez losu Panda Security, którego strona została niedawno podmieniona przez hackerów i przez wiele godzin pokazywała światu, jak długo może trwać reakcja na incydent. Bez wątpienia będziemy mieli jeszcze niejedną okazję opisać włamanie do firmy antywirusowej – oby wszystkie nauczyły się reakcji od Sophosa.
