Na oplátku mali navždy mlčať a vymazať ukradnutú databázu. V nej sa nachádzali údaje o 600-tisíc vodičoch a až 57 miliónov klientoch. Napriek tomu sa kauza prevalila a UBER stál tento útok priveľa. Prišli o peniaze aj reputáciu.
Prečo sa útok vôbec stal, v čom všetkom spoločnosť pochybila a mohol sa prípad skončiť aj horšie?
„Zlyhanie UBERu vyzerá bizarne a nesie znaky ignorácie a amaterizmu. Až sa tomu nechce veriť,” hovorí Ľubomír Kopáček, vedúci divízie bezpečnosti zo spoločnosti GAMO, ktorá sa venuje cloudovým riešeniam a ich zabezpečeniu. „Keď vývojári robia webové stránky, tak používajú tzv. repozitár. Do neho si ukladajú kódy, ktoré potom vložia do GitHubu. A doň malo v prípade UBERu prístup niekoľko stoviek vývojárov, ktorí tak spolu komunikovali,“ upozorňuje na vážnu chybu.
Zjednodušene povedané: vývojári UBERu pozabudli zabezpečiť prístupové údaje k svojim serverom v rámci zdrojových kódov, uložených na GitHube. „Potom sa niekto jednoducho prihlásil do infraštruktúry UBERu, našiel hodnotné údaje a pokúsil sa ich vydierať,“ dodáva Ľubomír Kopáček.
Druhá chyba, tretia chyba
Pokus hackerom vyšiel a spoločnosť sa rozhodla zaplatiť výkupné. Čo bolo ďalšou chybou. Neexistuje žiadna garancia etickosti hackera, ktorý po zaplatení výkupného dáta vráti bez zabezpečenia si kópií. Tie totiž môže následne predať tretej strane. Za niekoľkonásobne vyššiu cenu, akou bolo tzv. výkupné. A neprípustné zo strany UBERu bolo aj zamlčanie incidentu.
„Mlčať pri incidente s takýmito rozmermi nie je len nerozumné, ale vo väčšine civilizovaných krajín aj protizákonné,” pripomína vedúci divízie bezpečnosti z GAMO Ľubomír Kopáček. Minimálne v rámci EU totiž existuje povinnosť hlásenia incidentov a aj niekoľko regulácií, ktoré všetko usmerňujú. Vrátane tej najmenej populárnej – GDPR.
148 miliónov dolárov všetkým štátom USA a Kolumbii.
Čo mal teda UBER spraviť?
Problém tkvel v tom, že spoločnosť nemala implementované žiadne kontrolné mechanizmy v rámci svojho softvérového vývoja. Pritom je to jedna z najpodstatnejších vecí. Zjednodušene povedané, ak vám nejaký dodávateľ niečo vyvíja, nikdy mu nezverte do rúk aj zabezpečenie. Najvhodnejšie je si najať iného dodávateľa, ktorý bude „strážnym psom“ celého projektu.
„Vždy by mal byť niekto nezávislý, kto by v rámci projektu validoval všetky kroky. Najať si bezpečnostného manažéra je alfou a omegou bezpečnosti celého projektu. On totiž vie odhaliť aj najväčšiu hrozbu bezpečnosti, ktorou je ľudský faktor,“ hovorí Ľubomír Repiský, manažér technológií.
Manažovanie bezpečnosti zahŕňa komplexné zabezpečenie a ochranu pred krádežou informácií, pred škodlivým softvérom či prienikom do siete a interných systémov. „Externý manažment bezpečnosti môže byť zo začiatku finančným strašiakom, no v konečnom dôsledku môže ísť o výhodný krok,” pripomína Repiský. Firma sa odbremení od aktualizácie softvérov, administrácie či nákupu firewallov, licencií a iných bezpečnostných riešení, na ktoré buď musí zamestnať ďalších ľudí alebo tých pôvodných vyškoliť. „V konečnom dôsledku je teda balík externého servisovania výhodnejší,” uzatvára expert z GAMO.
Obeťou môže byť každý
UBER však ani zďaleka nie je jediným napadnutým, ktorý v bezpečnosti pochybil. Viac ako polovica európskych firiem zaznamenala aspoň jeden kybernetický útok za posledné dva roky. A zmenili sa aj obete. Kým v minulosti boli cieľom útokov veľké firmy, dnes sa hackeri často zameriavajú na menšie a stredné firmy, ktoré nemyslia na ochranu, a sú zraniteľnejšie. Dbať na svoju bezpečnosť by tak mal každý, kto chce predísť vydieraniu alebo verejnému poníženiu.
Zvoľte proaktívny prístup
- Nasaďte technické prostriedky na znižovanie rizík (antivírusy, firewally a iné)
- Nastavte stratégiu založenú na kombinácií vzdelávania, procesov, technických opatrení, ale najmä na analytickom prístupe
- Využívajte threat hunting - vyhľadávanie hrozieb, ktoré by mohli ovplyvniť kvalitu bezpečnosti vo firme
- S dobre vyladenou proaktívnou bezpečnostnou stratégiou, je firma schopná hrozby včas predpovedať a zabrániť im
